Académique Documents
Professionnel Documents
Culture Documents
UCOPIA
Version 6.0
Table des matières
2
5.3.4.1. Ajouter une imprimante ............................................................................................ 70
5.4. Personnalisation ...................................................................................................................... 74
5.4.1. Personnalisation des portails UCOPIA ................................................................................... 74
5.4.1.1. Associations ............................................................................................................. 77
5.4.1.2. Configuration d’un portail captif ............................................................................... 78
5.4.2. Configuration des chartes ..................................................................................................... 117
5.4.3. Configuration des champs additionnels ............................................................................... 121
5.4.4. Personnalisation des tickets ................................................................................................. 124
5.4.5. Configuration d’URL en accès libre ...................................................................................... 130
5.4.6. Configuration de parrainage ................................................................................................. 132
5.5. Configuration du mécanisme de journalisation ...................................................................... 133
5.5.1. Critères d’activation de la journalisation ............................................................................... 134
5.5.2. Export et suppression automatiques des sauvegardes de journaux .................................... 134
5.6. Configuration de la haute disponibilité ................................................................................... 135
5.6.1. Redondance ......................................................................................................................... 135
5.6.2. Répartition de charge ........................................................................................................... 135
5.6.3. Configuration de la redondance et de la répartition de charge ............................................ 136
5.7. Configuration en architecture Out-of-Band ............................................................................ 139
5.7.1. Administration des contrôleurs Edge .................................................................................... 140
5.7.2. Association à un contrôleur central ...................................................................................... 141
5.8. Configuration en architecture multi-tenant ............................................................................. 142
5.9. Configuration des services externes ..................................................................................... 142
5.9.1. Configuration du service de SMS ......................................................................................... 143
5.9.2. Configuration du service de messagerie (email) .................................................................. 145
5.9.3. Configuration du service FTP ............................................................................................... 149
5.9.4. Configuration du service PayPal .......................................................................................... 151
5.9.5. Configuration du service Ingenico ........................................................................................ 153
5.9.6. Configuration du service PMS .............................................................................................. 154
5.9.7. Configuration du service PPS ............................................................................................... 159
5.9.8. Configuration du service DPSK ............................................................................................ 160
5.9.9. Configuration des réseaux sociaux ...................................................................................... 162
5.10. Configuration des interfaces avec le contrôleur ................................................................ 164
5.10.1. Interface SNMP.......................................................................................................... 165
5.10.1.1. Configuration de l'agent SNMP .................................................................................... 165
5.10.1.2. Configuration des alertes SNMP ................................................................................. 166
5.10.2. Interface Syslog ......................................................................................................... 167
6. Administration .................................................................................................................................... 169
3
6.1. Utilisateurs ..................................................................... 171
6.1.1. Profils utilisateurs ......................................................... 171
6.1.1.1. Ajout d’un profil utilisateur ...................................................................................... 172
6.1.2. Comptes utilisateurs ............................................................................................................. 185
6.2. Administrateurs ...................................................................................................................... 191
6.2.1. Profils administrateurs .......................................................................................................... 191
6.2.2. Comptes administrateurs ...................................................................................................... 198
6.3. Forfaits & Vouchers ............................................................................................................... 199
6.3.1. Forfaits .................................................................................................................................. 199
6.3.2. Vouchers ............................................................................................................................... 201
6.4. Politiques ............................................................................................................................... 204
6.4.1. Zones .................................................................................................................................... 204
6.4.2. Tenants ................................................................................................................................. 207
6.4.3.1. Visualisation des services ...................................................................................... 209
6.4.3.2. Ajout d’un service ................................................................................................... 210
6.4.3.3. Suppression d’un service ....................................................................................... 212
6.4.3.4. Modification d’un service ....................................................................................... 212
6.4.3.5. Activation et désactivation d’un service ................................................................. 212
6.4.4. Contraintes de champ .......................................................................................................... 212
7. Supervision ........................................................................................................................................ 216
7.1. Principes de recherche et consultation .................................................................................. 216
7.1.1. Filtre de recherche ................................................................................................................ 216
7.1.1.1. Choix de la période de temps ................................................................................ 217
7.1.1.2. Choix des critères .................................................................................................. 218
7.1.2. Les tableaux de résultats de recherche ............................................................................... 218
7.2. Supervision temps réel .......................................................................................................... 220
7.2.1. Sessions ............................................................................................................................... 220
7.2.2. Baux DHCP .......................................................................................................................... 221
7.2.3. Contrôleur ............................................................................................................................. 222
7.3. Journaux utilisateurs .............................................................................................................. 223
7.3.1. Sessions ............................................................................................................................... 223
7.3.2. Trafic ..................................................................................................................................... 224
7.3.3. URLs ..................................................................................................................................... 226
7.4. Journaux systèmes ................................................................................................................ 228
7.4.1. Audit ...................................................................................................................................... 228
7.4.2. Utilisation des ressources ..................................................................................................... 228
8. Exploitation ........................................................................................................................................ 229
8.1. Sauvegardes .......................................................................................................................... 230
4
8.1.1. Sauvegardes de configuration .............................................................................................. 230
8.1.2. Sauvegardes de journaux utilisateurs .................................................................................. 234
8.2. Rapports ................................................................................................................................ 237
8.2.1. Création d’un nouveau rapport ............................................................................................. 238
8.2.2. Personnalisation d’un rapport ............................................................................................... 240
8.2.3. Modification/Suppression d’un rapport ou d’une personnalisation ....................................... 242
8.3. Maintenance .......................................................................................................................... 243
8.3.1. Licence ................................................................................................................................. 243
8.3.2. Mise à jour ............................................................................................................................ 243
8.3.3. UWS ..................................................................................................................................... 245
8.3.4. Mot de passe ........................................................................................................................ 247
5
Liste des illustrations
6
Figure 49 Gestion des certificats ............................................................................................................. 50
Figure 50 Chargement des certificats ...................................................................................................... 50
Figure 51 Visualisation du contenu d’un certificat ................................................................................... 51
Figure 52 Configuration du RADIUS ........................................................................................................ 52
Figure 53 Exemple de configuration des NAS ......................................................................................... 53
Figure 54 Configuration d'une architecture NAS avec redirection portail ................................................ 53
Figure 55 Liste des équipements compatibles ........................................................................................ 54
Figure 56 Configuration par défaut des realms ....................................................................................... 55
Figure 57 Configuration du RADIUS UCOPIA en mode proxy ................................................................ 56
Figure 58 Options avancées d’authentification RADIUS ......................................................................... 57
Figure 59 Configuration de l’authentification transparente Windows ...................................................... 58
Figure 60 Exemple d’enregistrement dans un domaine Windows .......................................................... 58
Figure 61 Configuration Shibboleth ......................................................................................................... 59
Figure 62 Création d'une nouvelle configuration Shibboleth ................................................................... 60
Figure 63 Exemple de règles d'attribution de profils Shibboleth ............................................................. 61
Figure 64 Enregistrement sur le réseau RENATER ................................................................................ 62
Figure 65 Configuration SAML ................................................................................................................ 63
Figure 66 Items du menu Zéro configuration ........................................................................................... 64
Figure 67 Configuration du mode « IP fixe » ........................................................................................... 64
Figure 68 Configuration du service Web ................................................................................................. 65
Figure 69 Configuration de la redirection vers le proxy parent ................................................................ 66
Figure 70 Configuration de la redirection vers le service ICAP ............................................................... 66
Figure 71 Configuration du service de redirection vers un serveur de messagerie ................................ 67
Figure 72 Choix des modes de configuration de redirection SMTP ........................................................ 68
Figure 73 Exemple de configuration de redirection SMTP ...................................................................... 68
Figure 74 Exemple de configuration du relai SMTP ................................................................................ 69
Figure 75 Configuration des imprimantes ............................................................................................... 70
Figure 76 Choix du protocole de l'imprimante ......................................................................................... 71
Figure 77 Saisie de l'adresse de l'imprimante ......................................................................................... 71
Figure 78 Description de l'imprimante ..................................................................................................... 71
Figure 79 Choix du fabricant de l'imprimante .......................................................................................... 72
Figure 80 Choix du modèle de l'imprimante ............................................................................................ 72
Figure 81 Définition des options de l'imprimante ..................................................................................... 72
Figure 82 Visualisation d’une imprimante configurée .............................................................................. 73
Figure 83 Affichage d’information détaillée pour une imprimante ........................................................... 73
Figure 84 Items du menu Personnalisation ............................................................................................. 74
Figure 85 Tableau des associations ........................................................................................................ 75
Figure 86 Tableau des configurations ..................................................................................................... 75
Figure 87 Tableau des modèles visuels .................................................................................................. 76
Figure 88 Ajout d'une association ............................................................................................................ 77
Figure 89 Association ajoutée ................................................................................................................. 77
Figure 90 Modification d'une association ................................................................................................. 78
Figure 91 Portail captif avec inscription « One Click Button » ................................................................. 80
Figure 92 Portail captif avec enregistrement libre ................................................................................... 81
Figure 93 Auto-enregistrement libre d’un utilisateur depuis le portail captif ............................................ 82
Figure 94 Portail captif avec possibilité d'auto-enregistrement et impression de ticket .......................... 83
Figure 95 Enregistrement pour impression de ticket ............................................................................... 84
Figure 96 Portail captif avec enregistrement par SMS ............................................................................ 85
Figure 97 Auto-enregistrement par SMS d’un utilisateur depuis le portail captif ..................................... 86
Figure 98 Portail captif avec enregistrement par email ........................................................................... 87
Figure 99 Auto-enregistrement par email d’un utilisateur depuis le portail captif .................................... 88
Figure 100 Portail captif avec paiement en ligne via PayPal ................................................................... 89
7
Figure 101 Enregistrement lors d’un paiement en ligne via PayPal 90
Figure 102 Choix d’un forfait avant paiement en ligne PayPal ........ 91
Figure 103 Portail captif avec paiement en ligne via Ingenico ................................................................ 92
Figure 104 Enregistrement lors d’un paiement en ligne via Ingenico ...................................................... 93
Figure 105 Choix d’un forfait avant paiement en ligne Ingenico.............................................................. 94
Figure 106 Exemple de portail captif avec utilisation de forfaits (PMS) .................................................. 95
Figure 107 Portail captif avec utilisation d’un PPS .................................................................................. 96
Figure 108 Portail captif avec authentification Shibboleth ....................................................................... 97
Figure 109 Portail captif avec authentification par réseaux sociaux ....................................................... 98
Figure 110 Ajout d’une configuration de portail captif ............................................................................. 99
Figure 111 Exemple de configuration d’un portail hébergé (avec redirection) ...................................... 100
Figure 112 Exemple de configuration d’un portail externe .................................................................... 101
Figure 113 Sélection des modes d'authentification ............................................................................... 102
Figure 114 Configuration de portail captif avec authentification par identifiants ................................... 103
Figure 115 Configuration de portail captif avec Shibboleth ................................................................... 103
Figure 116 Configuration de portail captif avec PMS ............................................................................ 104
Figure 117 Configuration de portail captif avec PPS ............................................................................. 104
Figure 118 Configuration de portail captif avec WISPr .......................................................................... 104
Figure 119 Configuration de portail captif avec réseaux sociaux .......................................................... 105
Figure 120 Option d'authentification ...................................................................................................... 105
Figure 121 Sélection des modes d'enregistrement ............................................................................... 106
Figure 122 Options de renseignement sur l'utilisateur .......................................................................... 106
Figure 123 Exemple de configuration du portail captif avec enregistrement One-Click ........................ 107
Figure 124 Exemple de configuration du portail captif avec enregistrement libre ................................. 107
Figure 125 Exemple de configuration du portail captif avec enregistrement par SMS ......................... 108
Figure 126 Exemple de configuration du portail captif avec enregistrement par email ......................... 108
Figure 127 Exemple de configuration du portail captif avec impression de ticket ................................. 109
Figure 128 Exemple de configuration du portail captif avec paiement en ligne PayPal ........................ 109
Figure 129 Exemple de récapitulatif d'achat Ingenico ........................................................................... 110
Figure 130 Exemple de configuration du portail captif avec paiement en ligne Ingenico ..................... 110
Figure 131 Enregistrement libre avec parrainage ................................................................................. 111
Figure 132 Champs de saisie à l'enregistrement .................................................................................. 111
Figure 133 Configuration du rechargement de comptes sur le portail .................................................. 112
Figure 134 Exemple de configuration des langues du portail captif ...................................................... 113
Figure 135 Ajout d'une configuration de portail de délégation .............................................................. 113
Figure 136 Champs d'enregistrement des utilisateurs pour le portail de délégation ............................. 114
Figure 137 Ajout d'une configuration de connexion automatique .......................................................... 114
Figure 138 Ajout d'une configuration de connexion automatique .......................................................... 115
Figure 139 Paramètres de la configuration............................................................................................ 115
Figure 140 Ajout d'un modèle visuel ...................................................................................................... 116
Figure 141 Exemple de configuration d'un nouveau modèle visuel ...................................................... 116
Figure 142 Exemple d'ajout d'un modèle visuel .................................................................................... 116
Figure 143 Import d'un modèle externe ................................................................................................. 117
Figure 144 Configuration des chartes .................................................................................................... 118
Figure 145 Ajout d'une charte ................................................................................................................ 119
Figure 146 Charte de type Texte ........................................................................................................... 120
Figure 147 Charte de type Fichier ......................................................................................................... 120
Figure 148 Charte de type URL ............................................................................................................. 121
Figure 149 Personnalisation des champs additionnels ......................................................................... 122
Figure 150 Ajout de champs additionnels.............................................................................................. 123
Figure 151 Portail de délégation avec champs additionnels ................................................................. 124
Figure 152 Tableaux de tickets .............................................................................................................. 125
Figure 153 Personnalisation des tickets de connexion ......................................................................... 126
8
Figure 154 Personnalisation des tickets de rechargement.................................................................... 127
Figure 155 Exemple de configuration d’un ticket de rechargement au format A4................................. 129
Figure 156 Exemple de configuration d’un ticket de connexion au format badge ................................. 130
Figure 157 Configuration des URL en accès libre ................................................................................. 131
Figure 158 Ajout d’une URL HTTP en accès libre ................................................................................. 131
Figure 159 Ajout d'une URL HTTPS en accès libre .............................................................................. 132
Figure 160 Ajout d'une configuration de parrainage .............................................................................. 132
Figure 161 Tableau des configurations de parrainage .......................................................................... 133
Figure 162 Configuration de la journalisation ........................................................................................ 134
Figure 163 Exemple de configuration d’exportation des sauvegardes de journaux .............................. 135
Figure 164 Configuration du mécanisme de répartition de charge : étape 1 ........................................ 136
Figure 165 Configuration du mécanisme de répartition de charge : étape 2 ........................................ 137
Figure 166 Configuration du mécanisme de répartition de charge : étape 3 ........................................ 138
Figure 167 Exemple de 3 contrôleurs dont 2 actifs et un passif ............................................................ 138
Figure 168 Items du menu Out-Of-Band ............................................................................................... 140
Figure 169 Administration des contrôleurs Edge ................................................................................... 141
Figure 170 Configuration du contrôleur central ..................................................................................... 141
Figure 171 Items du menu Services externes ....................................................................................... 143
Figure 172 Configuration des comptes SMS ......................................................................................... 143
Figure 173 Ajout d’un compte SMS ....................................................................................................... 144
Figure 174 Exemple de configuration d’un compte SMS ...................................................................... 145
Figure 175 Configuration des comptes de messagerie ......................................................................... 145
Figure 176 Ajout d’un compte de messagerie ....................................................................................... 147
Figure 177 Exemple de configuration d’un compte email ...................................................................... 149
Figure 178 Configuration des comptes FTP .......................................................................................... 150
Figure 179 Ajout d’un compte FTP ........................................................................................................ 150
Figure 180 Configuration PayPal ........................................................................................................... 151
Figure 181 Ajout d'un compte PayPal ................................................................................................... 152
Figure 182 Exemple de configuration du système PayPal .................................................................... 153
Figure 183 Configuration Ingenico ......................................................................................................... 153
Figure 184 Test de redirection Ingenico ................................................................................................ 154
Figure 185 Configuration de l’interface PMS ......................................................................................... 155
Figure 186 Configuration des paramètres de connexion au PMS ......................................................... 156
Figure 187 Exemple de profil particulier ................................................................................................ 158
Figure 188 Configuration du système PPS............................................................................................ 159
Figure 189 Configuration des paramètres de connexion au PPS ......................................................... 160
Figure 190 Principe de fonctionnement du service DPSK ..................................................................... 161
Figure 191 Configuration du service DPSK ........................................................................................... 161
Figure 192 Exemple d'une configuration Ruckus DPSK ....................................................................... 162
Figure 193 Liste des configurations DPSK ............................................................................................ 162
Figure 194 Liste des configurations de réseaux sociaux ....................................................................... 163
Figure 195 Exemple de configuration de réseaux sociaux .................................................................... 163
Figure 196 Exemple de configuration OpenID Connect ........................................................................ 164
Figure 197 Items du menu Interfaces UCOPIA ..................................................................................... 165
Figure 198 Configuration de l’interface SNMP ...................................................................................... 165
Figure 199 Configuration de l'agent SNMP ........................................................................................... 166
Figure 200 Configuration des paramètres SNMP .................................................................................. 166
Figure 201 Serveur Syslog externe ....................................................................................................... 167
Figure 202 Configuration de l'exportation Syslog .................................................................................. 167
Figure 203 Menu Administration ............................................................................................................ 170
Figure 204 Visualisation des profils utilisateurs ..................................................................................... 171
Figure 205 Visualisation des détails d'un profil ...................................................................................... 172
9
Figure 206 Création d’un profil utilisateur ...................................... 173
Figure 207 Création d’un profil utilisateur : Nom ........................... 173
Figure 208 Création d’un profil utilisateur : validité sur un intervalle de dates ...................................... 174
Figure 209 Création d’un profil utilisateur : zones ................................................................................. 174
Figure 210 Création d’un profil utilisateur : reconnaissance automatique ............................................. 174
Figure 211 Configuration du trafic Web du profil ................................................................................... 175
Figure 212 Exemple de configuration de filtrage d'URLs ...................................................................... 176
Figure 213 Exemple de politique de mot de passe ............................................................................... 176
Figure 214 Gestion de la bande passante et quotas ............................................................................. 177
Figure 215 Somme des débits montant et ascendant ........................................................................... 178
Figure 216 Configuration de la purge automatique des comptes utilisateur par profil .......................... 179
Figure 217 Exemple de création d’un profil utilisateur : options avancées ........................................... 179
Figure 218 Exemple de profil valide à la création .................................................................................. 181
Figure 219 Exemple de profil valide à partir de la première connexion ................................................ 181
Figure 220 Exemple de profil valide dans un intervalle de dates .......................................................... 181
Figure 221 Modification d’un profil utilisateur ........................................................................................ 182
Figure 222 Ajout d’un profil conditionnel ................................................................................................ 183
Figure 223 Configuration des paramètres de condition d’un profil ........................................................ 184
Figure 224 Exemple de configuration des conditions de lieu ................................................................ 184
Figure 225 Exemple de configuration des conditions sur le type d'équipement ................................... 185
Figure 226 Exemple de résultat de configuration des paramètres de condition ................................... 185
Figure 227 Ajout d’un profil conditionnel ................................................................................................ 185
Figure 228 Gestion des comptes utilisateurs......................................................................................... 186
Figure 229 Affichage des détails d’un compte utilisateur ...................................................................... 186
Figure 230 Exemple de recherche d'utilisateur ..................................................................................... 187
Figure 231 Exemple de configuration des colonnes du tableau des utilisateurs ................................... 188
Figure 232 Configuration de la purge automatique des comptes utilisateur ......................................... 189
Figure 233 Configuration de l'export automatique des comptes utilisateurs ......................................... 189
Figure 234 Exemple de création d’un compte utilisateur ....................................................................... 190
Figure 235 Exemple de création d’un compte utilisateur : étape 1 ....................................................... 190
Figure 236 Exemple de création d’un compte utilisateur : étape 2 ....................................................... 190
Figure 237 Exemple de configuration d’une authentification par adresse MAC .................................... 191
Figure 238 Gestion des profils d'administration ..................................................................................... 192
Figure 239 Ajout d'un nouveau profil d'administration ........................................................................... 192
Figure 240 Paramétrage des droits d'administration ............................................................................. 193
Figure 241 Paramétrage des droits d'administration déléguée ............................................................. 194
Figure 242 Choix des profils visibles depuis l’outil d’administration ...................................................... 195
Figure 243 Choix des actions autorisées pour l'administration des vouchers ....................................... 197
Figure 244 Gestion des comptes administrateur ................................................................................... 198
Figure 245 Exemple de création/modification d'un compte administrateur ........................................... 198
Figure 246 Configuration des forfaits ..................................................................................................... 199
Figure 247 Ajout d'un forfait ................................................................................................................... 200
Figure 248 Gestion des vouchers .......................................................................................................... 201
Figure 249 Création de vouchers .......................................................................................................... 201
Figure 250 Options utilisateurs pour rechargement par voucher .......................................................... 202
Figure 251 Option Recharger votre compte .......................................................................................... 203
Figure 252 Code de rechargement ....................................................................................................... 204
Figure 253 Option avancée du profil ...................................................................................................... 204
Figure 254 Administration des zones .................................................................................................... 205
Figure 255 Ajout d'une zone d'entrée .................................................................................................... 206
Figure 256 Exemple d'affectation de zone par attribut RADIUS ........................................................... 207
Figure 257 Exemple d'affectation de zone par option DHCP 82 ........................................................... 207
Figure 258 Ajout d'un tenant .................................................................................................................. 208
10
Figure 259 Liste des tenants ................................................................................................................. 208
Figure 260 Ajout d'un profil administrateur pour tenant ......................................................................... 209
Figure 261 Ajout d'un profil utilisateur pour tenant ................................................................................ 209
Figure 262 Visualisation des services ................................................................................................... 210
Figure 263 Création d’un service ........................................................................................................... 211
Figure 264 Affichage des paramètres d’un service ............................................................................... 212
Figure 265 Modification d’un service ..................................................................................................... 212
Figure 266 Configuration des contraintes de champ ............................................................................. 213
Figure 267 Ajout d'une contrainte de champ ......................................................................................... 213
Figure 268 Configuration des politiques de récupération de mot de passe .......................................... 214
Figure 269 Ajout d'une politique de récupération de mot de passe ...................................................... 214
Figure 270 Configuration des catégories d'URL .................................................................................... 215
Figure 271 Ajout d'une catégorie d'URL ................................................................................................ 215
Figure 272 Menu Supervision ................................................................................................................ 216
Figure 273 Exemple de recherche ......................................................................................................... 217
Figure 274 Choix de la période de temps .............................................................................................. 217
Figure 275 Choix d'une date spécifique ................................................................................................ 217
Figure 276 Choix d’un intervalle de dates ............................................................................................. 218
Figure 277 Exemple de tableau de résultats ......................................................................................... 219
Figure 278 Exemple de génération de fichier CSV ............................................................................... 219
Figure 279 Exemple de choix de colonnes d’un tableau de résultats ................................................... 220
Figure 280 Supervision des utilisateurs connectés ............................................................................... 221
Figure 281 Supervision des baux DHCP ............................................................................................... 222
Figure 282 Supervision de l’état du contrôleur ...................................................................................... 223
Figure 283 Supervision des débits par interface ................................................................................... 223
Figure 284 Supervision des sessions utilisateur ................................................................................... 224
Figure 285 Graphique du nombre de sessions simultanées ................................................................. 224
Figure 286 Supervision du trafic utilisateur ............................................................................................ 226
Figure 287 Statistiques URLs ................................................................................................................ 227
Figure 288 Journaux d'audit .................................................................................................................. 228
Figure 289 Utilisation des ressources du système ................................................................................ 229
Figure 290 Menu Exploitation ................................................................................................................ 230
Figure 291 Sauvegarde/Restauration de la configuration ..................................................................... 231
Figure 292 Enregistrement du fichier de sauvegarde ............................................................................ 232
Figure 293 Exemple de configuration FTP pour l'export de la configuration ......................................... 233
Figure 294 Smart Configuration ............................................................................................................. 233
Figure 295 Exploitation de sauvegardes des journaux ......................................................................... 236
Figure 296 Import d'une base de données des journaux ...................................................................... 236
Figure 297 Recherche de sauvegardes des journaux ........................................................................... 237
Figure 298 Résultat d’une recherche sur les sauvegardes de journaux ............................................... 237
Figure 299 Synchronisation complète des journaux avec le serveur FTP ............................................ 237
Figure 300 Configuration des rapports .................................................................................................. 238
Figure 301 Création d'un nouveau rapport ............................................................................................ 239
Figure 302 Exemple de création de personnalisation des rapports ...................................................... 241
Figure 303 Gestion des rapports ........................................................................................................... 242
Figure 304 Mise à jour ........................................................................................................................... 244
Figure 305 Application d’une mise à jour évolutive ............................................................................... 245
Figure 306 Configuration UWS .............................................................................................................. 246
Figure 307 Tunnel de maintenance activé ............................................................................................. 246
Figure 308 Modification du mot de passe administrateur ...................................................................... 247
11
1. Introduction
Ce manuel s’adresse aux administrateurs système et/ou réseaux ayant en charge l’installation et la
configuration d’un contrôleur UCOPIA.
Un contrôleur UCOPIA est constitué d’un boîtier (Appliance) ou d’une machine virtuelle se
positionnant entre l’infrastructure d’accueil des utilisateurs (Wifi et/ou filaire) et le réseau local de
l’entreprise.
• Gestion des droits d’accès par profil utilisateur en fonction du lieu et de l’heure
• Confidentialité des données
• Accès « Zéro Configuration » pour les utilisateurs
• Provisionnement des comptes par délégation et/ou auto-enregistrement
• Supervision et journalisation
• Intégration avec le réseau existant
• Déploiement multisite
• Haute disponibilité
Un contrôleur UCOPIA s’installe en coupure logique (ou physique) entre le LAN d’entreprise et le
réseau d’accueil des utilisateurs (Wifi et/ou filaire). Tous les flux en provenance ou à destination des
utilisateurs doivent traverser le contrôleur. Pour cela, il est équipé de deux cartes Ethernet, l’une étant
reliée au LAN, l’autre sur le réseau d’accueil.
Note
D'autres architectures sont possibles pour lesquelles le contrôleur UCOPIA n'est pas positionné en
coupure du trafic utilisateur, notamment les architectures Out-of-Band (voir section « Configuration en
architecture Cloud »).
• L’interface IN du contrôleur UCOPIA doit être relié à l’infrastructure d’accueil Wifi et/ou filaire
(exemple : commutateur sur lequel sont branchés les points d’accès).
• L’interface ADMIN peut être utilisé pour être relié à un réseau séparé dédié à l’administration.
• Branchement secteur 220 V ou 110 V.
Les détails de branchement (agrégation de liens, ports 10Gb) sont disponibles dans le guide
QuickStart livré avec le boîtier ou la machine virtuelle.
Vous devez au préalable connecter votre ordinateur au contrôleur UCOPIA, en suivant une des
méthodes présentées ci-dessous :
1. Reliez votre ordinateur à l’interface IN du contrôleur UCOPIA à l’aide d’un câble réseau.
2. Reliez votre ordinateur au commutateur sur lequel sont branchés les points d’accès à l’aide d’un câble
réseau droit, ce commutateur étant lui-même relié au contrôleur UCOPIA.
3. Associez-vous à un point d’accès relié au contrôleur UCOPIA, en utilisant le SSID qui a été configuré
à cet effet.
13
Figure 1 Page d’authentification à l’outil d’administration
Entrez votre login et mot de passe afin de vous authentifier. Une fois authentifié, la page de bienvenue
s’affiche. Par défaut, le login est admin et le mot de passe est ucopia. Lors de la première
authentification, il est obligatoire de modifier le mot de passe de ce compte principal d’administration.
La documentation est disponible en ligne en cliquant sur « Documentation » dans la barre de menus.
Les documentations proposées sont téléchargeables au format PDF en français et en anglais comme
le montre la copie d’écran ci-dessous.
Note
Ce document décrit toutes les fonctionnalités pour tout type de licence. Pour connaître le détail des
fonctionnalités disponibles selon la licence, veuillez consulter le livre blanc UCOPIA.
À ce stade, la plupart des fonctions de l’outil d’administration sont interdites. Seules sont autorisées
les fonctions permettant d’associer le contrôleur UCOPIA au réseau, ainsi que les fonctions d’ouverture
du tunnel de maintenance et d’installation de la licence. Cliquez sur l’item « Exploitation » de la barre
de menu, puis sur l’item « Licence » dans le menu « Maintenance » à gauche de la fenêtre.
15
Figure 3 Installation de la licence
4.1. Paramètres
Renseignez tout d'abord les champs correspondant aux coordonnées de la société installatrice et du
client final, activez les options, puis cliquez sur « Valider »
16
Figure 4 Renseignement des paramètres de la licence
« Activer la vérification journalière en ligne de la licence ». Cette option est utilisée pour une
mise à jour automatique de la licence en cas de mise à jour du contrôleur (150 vers 250 par exemple)
ou de licence flexible ou temporaire.
Cette opération de renseignement des paramètres n'est à réaliser qu'une seule fois.
Avertissement
Le contrôleur UCOPIA doit être configuré de telle sorte qu'il puisse accéder à Internet et donc à la plate-
forme qui délivre les licences.
En cas de succès, un message s’affiche indiquant que la licence s’est correctement installée.
1. Ouvrez le cadre de l’installation manuelle de la licence en cliquant sur l’icône « + ». La page suivante
s’affiche :
17
Figure 6 Génération du fichier de licence
3. Recopiez l’expression affichée dans le captcha code. Entrez le numéro de série du contrôleur
UCOPIA ainsi que les coordonnées de la société installatrice et celles de la société cliente. Cliquez
sur « Valider ».
4. Un fichier « license.tgz » est proposé en téléchargement. Enregistrez ce fichier sur votre poste.
5. Importez ce fichier sur le contrôleur à l’aide du bouton « Parcourir… » ou « Choisissez un fichier ».
Une fois la licence enregistrée, un message de confirmation s’affiche, et l’ensemble des menus est
maintenant opérationnel.
Si toutefois, la licence n’est pas valide, il est possible de restaurer la précédente licence en cliquant
sur le bouton « Restaurer l’ancienne licence ».
18
5. Configuration
Un ensemble de services est également préconfiguré. Néanmoins, aucun profil ou utilisateur par défaut
n'est disponible.
Pour effectuer l’ensemble des configurations du contrôleur UCOPIA, cliquez sur l’item « Configuration
» de la barre de menu. La page suivante s’affiche :
catégorie :
• Réseau
• Authentification
19
Cette catégorie est consacrée à la configuration des mécanismes d’authentification, les
annuaires intervenant dans l’authentification, le serveur RADIUS embarqué dans le contrôleur
UCOPIA, l’authentification Shibboleth, etc.
• Zéro configuration
Il s’agit ici de configurer les mécanismes permettant à un utilisateur d’utiliser son poste et ses
applications sans configuration préalable : utilisation d’un poste en IP fixe, redirection Web,
service d’imprimante.
• Personnalisation
Cette catégorie va permettre de configurer les portails captifs et de délégation (formats, modes
de fonctionnement, aspects visuels, etc.), d’ajouter des champs additionnels pour la description
des comptes utilisateurs, de personnaliser les tickets de connexion délivrés par l’outil
d’administration déléguée, ainsi que de définir des URL accessibles avant authentification.
• Journalisation
Il s’agit ici de choisir les informations qui seront journalisées (sessions, trafic, URL) ainsi que
les critères de purge de la base de données (critères temporels ou de taille). Il est également
possible de configurer l’export automatique des sauvegardes de journaux.
• Out-of-band
Dans le cas de l’utilisation du contrôleur UCOPIA dans une architecture Out-of-Band Edge, il sera
possible de configurer le contrôleur central (selon licence), et les contrôleurs Edge.
• Services externes
UCOPIA utilise des services tels que SMS ou email pour, par exemple, transmettre des
identifiants de connexion à l’utilisateur. Il s’agit de définir dans cette catégorie les différents
comptes SMS, email, PayPal/ Ingenico ou réseaux sociaux qui pourront être utilisés.
20
Figure 9 Items du menu Réseau
21
souhaitez enregistrer le contrôleur UCOPIA dans un domaine Windows, vous devez
renseigner le champ « Groupe de travail Netbios ». Par défaut, celui-ci est UCOPIA.
• Le bloc « Nature du réseau d'entrée » permet de configurer le contrôleur UCOPIA pour qu’il
puisse s’adapter à différents types d’architecture réseau et plus particulièrement au cas d’une
architecture multi sites avec UCOPIA centralisé. Dans le cas d’une architecture multi sites
centralisée, trois cas de figure peuvent se présenter :
– Les sites distants sont reliés en niveau 2 au site principal (« Réseau commuté »). Dans ce
cas, l’ensemble des fonctionnalités UCOPIA sont opérationnelles, notamment toutes celles
associées aux VLAN (zones, multi portails, etc.). Il s’agit de la configuration par défaut.
– Les sites distants sont reliés en niveau 3 au site principal (« Réseau routé »). Dans ce cas,
UCOPIA fonctionne en faisant abstraction des informations niveau 2 avec toutefois
quelques restrictions :
1. Le mécanisme de NAT ne doit pas être activé entre les sites distants et le contrôleur
UCOPIA.
2. Les postes clients sur les sites distants doivent être configurés en DHCP et les baux
DHCP doivent être fournis par le serveur DHCP du contrôleur UCOPIA.
– Certains sites sont reliés en niveau 2, d’autres en niveau 3 (« Réseau commuté et routé
»).
– de modifier la taille des paquets (en octets) pouvant être transmis en une seule fois
(sans fragmentation) en sortie du contrôleur (MTU),
Dans la plupart des contrôleurs UCOPIA, une interface réseau d’administration peut être
configurée en plus des interfaces d’entrée et de sortie. En effet, ces matériels sont équipés d’un
port Ethernet physique dédié à l’administration. Le choix de l’interface d’administration lors de la
configuration fait apparaître un nouvel encadré sur la page de configuration du contrôleur.
22
Figure 11 Configuration de l'interface d'administration
Sur chaque réseau d'entrée, le serveur DHCP peut être activé ou désactivé, et les accès aux outils
d’administration et de délégation peuvent être autorisés ou interdits. Une pastille verte indique la
disponibilité, une pastille rouge la non disponibilité.
Pour ajouter un nouveau réseau d’entrée, cliquez sur le bouton « Ajouter ». La page suivante s’affiche
23
Note
Si dans les colonnes « Accès administration » » ou « Accès délégation » le lien « Filtrage avancé
» apparaît, cela indique que l’accès aux outils a été personnalisé via l’éditeur de filtrage (voir Sec tion
« Configuration des paramètres de filtrage »).
Cliquez sur le lien pour accéder à l’éditeur de filtrage.
Le label est le nom du sous-réseau, suivi d'un champ commentaire libre pour en donner la
description (« Label »). Vous devrez ensuite spécifier l’« Adresse du réseau » du contrôleur
UCOPIA (Adresse/masque) et la zone d’entrée (« Nom de la zone d’entrée »).
Il faudra aussi choisir s'il s'agit d'un réseau local (auquel cas il conviendra de renseigner
l'adresse IP du contrôleur sur ce réseau) ou d'un réseau distant (auquel cas il faudra créer une
route statique afin que le contrôleur UCOPIA puisse le joindre).
Concernant l’utilisation des zones d’entrée, reportez-vous à la section « Administration des zones
».
24
Il est ensuite possible de permettre à un utilisateur connecté sur ce sous-réseau d’accéder aux
outils d’administration (outil d’administration et/ou outil d’administration déléguée). Par défaut,
l’accès est autorisé sur les sous-réseaux préconfigurés.
Astuce
Pour contrôler de manière fine les accès aux ressources du contrôleur, y compris à l'outil d'administration,
à partir des VLAN ou d'autres entités réseau, voir Section 5.1.7.1, « Accès au contrôleur ».
Le bouton « Calculer les paramètres DHCP » permet de calculer automatiquement les champs
obligatoires.
25
Plages d'adresses : Vous pouvez définir la ou les plages d'adresses IP qui seront attribuées
aux clients DHCP. Pour cela cliquez sur le lien « Ajouter une plage ». Le formulaire suivant
s’affiche :
Baux fixes : Si vous souhaitez qu'une machine dont on connaît l’adresse MAC obtienne
toujours la même adresse IP, il faut définir un bail fixe. Pour cela cliquez sur le bouton « Ajouter
un bail fixe ». Le formulaire suivant s’affiche :
Les sous-réseaux peuvent être supprimés ou modifiés après leur création (ainsi que les
sousréseaux préconfigurés). Pour cela, dans le tableau des sous-réseaux, sélectionnez le sous-réseau
à supprimer ou à modifier, à l’aide de la case à cocher correspondante, et cliquez sur « Supprimer »
ou « Modifier ».
La durée des baux DHCP peut être configurée dans le cadre sous la liste des sous-réseaux
d’entrée. Cette configuration, qui est globale pour tous les sous-réseaux, définit la durée maximale en
secondes du bail attribué à un équipement. Cette durée d'attribution des adresses IP doit être comprise
entre 60 secondes et 2419200 secondes (soit 4 semaines). Par défaut, elle est de 3600 secondes soit
1 heure.
UCOPIA offre la possibilité d’aiguiller le flux d’un utilisateur en sortie du contrôleur UCOPIA sur
un réseau particulier. La redirection s’effectue en fonction du profil de l’utilisateur (voir section «
Configuration des profils utilisateurs »).
Cliquez sur l’item « Réseaux de sortie » du sous-menu proposé en partie gauche de la fenêtre. La page
suivante s’affiche :
26
Figure 18 Configuration des sous-réseaux de sortie
Avertissement
La prise en compte d’une adresse IP attribuée par DHCP est activée sur un seul des VLANs de sortie. Par
défaut, DHCP est activé sur le VLAN natif.
Les champs « Accès administration » et « Accès délégation » indiquent si l’accès aux outils
d’administration est autorisé depuis le VLAN. L’accès aux outils d’administration depuis le VLAN natif
est par défaut autorisé.
27
Note
Si dans les colonnes « Accès administration » ou « Accès délégation » le lien « Filtrage avancé »
apparaît, cela indique que l’accès aux outils d’administration a été personnalisé via l’éditeur de filtrage (voir
Section « Configuration des paramètres de filtrage »). Cliquez sur le lien pour accéder à l’éditeur de filtrage.
Le champ « Sortie par défaut » indique si ce VLAN correspond à la sortie par défaut du contrôleur
UCOPIA.
Pour ajouter un nouveau sous-réseau de sortie, cliquez sur le bouton « Ajouter ». La page suivante
s’affiche :
Vous devez renseigner tout d’abord les informations réseau : l’ID du VLAN (« Numéro de VLAN »),
l’adresse IP du contrôleur UCOPIA (« Adresse IP du contrôleur »), le masque de sous-réseau («
Masque de sous-réseau ») et la passerelle (« Passerelle »).
Le VLAN peut être configuré pour être la sortie par défaut. Pour cela, il faut cocher la case « Activer
comme sortie par défaut ».
28
Avertissement
Pour pouvoir activer l’option « Sortie par défaut », il ne faut qu’aucune autre interface de sortie ne soit
configurée par DHCP. Par défaut, c’est l’interface OUT qui est configurée en mode d’adressage DHCP.
Vous pouvez ensuite permettre à un utilisateur connecté sur ce VLAN d’accéder aux outils d’administration
(outil d’administration et/ou outil d’administration déléguée).
Astuce
Pour contrôler de manière fine les accès aux ressources du contrôleur, y compris à l'outil d'administration, à
partir des VLAN ou d'autres entités réseau, voir Section 5.1.7.1, « Accès au contrôleur ».
Les VLANs peuvent être supprimés ou modifiés après leur création. Pour cela, dans le tableau des
VLAN, sélectionnez le VLAN à supprimer ou à modifier, à l’aide de la case à cocher correspondante, et cliquez
sur « Supprimer » ou « Modifier ».
Avertissement
À chaque VLAN de sortie, il est possible de définir et d’associer une politique de sortie permettant de
spécifier son mode d'adressage réseau (NAT ou routage). Par ailleurs, nous rappelons qu'une politique
de sortie peut être associée à un profil utilisateur afin que les flux des utilisateurs appartenant à ce profil
soient redirigés dans le VLAN approprié (voir Section « Administration des profils utilisateurs »).
Les politiques de sortie sont locales car elles s’appliquent à un et un seul contrôleur : celui sur lequel elles
sont configurées.
Par défaut, une seule politique de sortie est définie. Elle est associée au sous-réseau de sortie
correspondant au VLAN natif. Cette politique indique que le trafic des utilisateurs subira une translation
d’adresse (NAT) en utilisant l'adressage IP de l'interface VLAN de sortie natif.
29
Pour créer une politique de sortie, cliquez sur le bouton « Ajouter » du tableau de politiques. La page
suivante s’affiche :
Il faut tout d’abord spécifier le nom de la politique de sortie. Il faut ensuite renseigner le numéro de VLAN
qui sera associé à la politique, ainsi que le mode d’adressage réseau (Routage ou NAT).
Dans le cas du choix du mode NAT, il est possible soit d’utiliser l’adressage de l’interface correspondante,
soit de spécifier l’adresse IP de NAT choisie.
Il faut ensuite sélectionner les profils utilisateurs qui appliqueront cette politique de sortie. Choisissez
les profils en les sélectionnant dans la liste des profils disponibles, les ajouter à l’aide du bouton «
Ajouter » dans la liste des profils concernés.
Enfin, il est possible d’ajouter des réseaux et VLANs additionnels dans la politique de sortie. Pour
certains besoins spécifiques, il peut être nécessaire d’accéder à plusieurs réseaux et VLANs distincts.
Par exemple, un utilisateur redirigé par défaut vers un réseau ou VLAN d’accès Internet mais qui
voudrait accéder à un serveur isolé sur un autre réseau ou VLAN.
Pour ajouter un réseau ou VLAN supplémentaire, cliquez sur le lien « Réseaux et VLANs
supplémentaires accessibles par politique » afin de faire apparaître l’écran de configuration.
La liste de gauche affiche les VLAN disponibles pouvant être ajoutés. Il est possible de restreindre l’accès
à une adresse IP particulière.
Exemple :
30
Figure 23 Exemple de configuration de VLANs de sortie supplémentaires
Ci-dessous, nous trouvons un exemple pour lequel deux politiques de sortie sont définies pour deux
populations d’utilisateurs : les Étudiants et les Professeurs. La politique pour les Étudiants est associée
à la zone Pédagogique, et la politique pour les Professeurs à la zone Laboratoires.
Vous pouvez choisir ici la politique d'adressage (« NAT » ou « Routage ») qui sera appliquée aux flux
non authentifiés en sortie du contrôleur.
5.1.4. Configuration des routes statiques de sortie
Les routes statiques servent en général à joindre une ressource réseau située sur un réseau distant
différent du LAN sur lequel se situe le contrôleur UCOPIA, et pour laquelle il nécessaire d’utiliser une
autre route que celle par défaut.
31
Pour configurer les routes statiques, cliquez sur l’item « Routes statiques » du sous-menu en partie
gauche de la fenêtre. La page suivante s’affiche :
Pour ajouter une nouvelle route statique, cliquez sur le bouton « Ajouter ». La page suivante s’affiche
:
32
Figure 26 Ajout d’une route statique
33
Figure 28 Configuration du serveur de temps
Vous pouvez choisir le fuseau horaire approprié (Europe/Paris par défaut), puis configurer la date et
l’heure. La configuration de la date et de l’heure peut être réalisée soit automatiquement via un serveur
NTP, soit manuellement.
Pour configurer le serveur DNS, cliquez sur l’item « Serveur DNS » du sous-menu en partie gauche de
la fenêtre. La page suivante s’affiche :
34
Figure 29 Configuration du serveur DNS
La taille maximale des paquets est personnalisable afin de pouvoir communiquer avec tout serveur
DNS. Cela permet notamment de facilite le transfert de paquets dont la taille est supérieure à 512 octets.
Par défaut, la taille maximale est fixée à 1280 octets. Elle peut être relevée jusqu’à 4096 octets.
Le cache DNS peut être activé afin de réduire la bande passante utilisée, ou de rendre la résolution
des requêtes plus rapide. L’activation du cache est recommandée lorsqu’un très grand nombre
d’équipements utilisateur doit être pris en charge, car cela peut conduire à des saturations au niveau
des serveurs DNS parents.
Pour chacun des DNS (principal et secondaire), il est possible d’effectuer un test afin de s’assurer que le
DNS est correctement configuré. Pour cela, utilisez les boutons « Tester » associés aux DNS.
35
Figure 30 Test d’un serveur DNS
Renseignez le nom de domaine et le type de requête. Les requêtes pouvant être testées sont décrites dans
le tableau ci-dessous. Le nombre d’envois pour chaque requête peut être spécifié.
Type de requête DNS Signification
A
fait correspondre un nom d’hôte à une adresse IPv4 de 32 bits distribués
sur quatre octets, ex. : 123.234.1.2
AAAA
fait correspondre un nom d’hôte à une adresse IPv6 de 128 bits
distribués sur seize octets
Le relais DNS peut être configuré par politique, soit en fonction du profil de l’utilisateur, soit en fonction
de l’interface d’entrée du contrôleur UCOPIA. Si aucune politique n’est définie, seuls les DNS primaires
et secondaires seront utilisés.
Pour configurer une politique, cliquez sur le bouton « Ajouter » du tableau des politiques DNS. La page
suivante s’affiche :
36
Figure 31 Configuration d’une politique DNS
• Politique par VLAN d’entrée La politique par VLAN d’entrée ne s’applique qu’avant
authentification de l’utilisateur sur le portail captif. Si les serveurs DNS du contrôleur UCOPIA
sont des serveurs internes (ex. : un contrôleur de domaine pour la résolution des machines
internes), il est alors intéressant d’appliquer des politiques DNS différentes aux utilisateurs en
fonction du VLAN d’entrée. Pour un VLAN d’entrée visiteur, il sera conseillé d’adresser des
serveurs DNS publics afin que les utilisateurs ne puissent pas résoudre de nom de machines
internes.
• Politique par profil La politique par profil ne s’appliquera qu’une fois l’utilisateur authentifié. Sur
un VLAN d’entrée non sécurisé, UCOPIA peut adresser des serveurs DNS publics avant
l’authentification de l’utilisateur.
Une fois l’utilisateur appartenant à un profil « employé », le contrôleur pourra adresser les serveurs
DNS du domaine interne.
Pour ajouter un enregistrement DNS, cliquez sur le bouton « Ajouter » du tableau de DNS. La page
suivante s’affiche :
Pour chaque entrée DNS, il est possible de spécifier le nom DNS (ex. : fr.ucopia.org) et l’adresse IP
d’une machine. Il est également possible de compléter automatiquement le nom du domaine lors de
l’envoi de la réponse DNS, et ce aussi bien en entrée qu’en sortie.
Par exemple, pour un domaine ayant pour nom « access.network » et une imprimante Wi-Fi se
trouvant coté IN ayant comme adresse IP 192.168.100.1 et pour nom « printer », il sera possible
d’effectuer une complétion automatique avec le nom du domaine lors de l’envoi de la réponse DNS. La
réponse sera par conséquent « printer.access.network ».
Exemple :
37
Figure 33 Exemple de configuration d’un enregistrement DNS
Important
Lorsqu'une entrée de domaine est ajoutée, le serveur DNS du contrôleur sera l'autorité pour ce domaine
et ses sous-domaines. Il est alors obligatoire de déclarer les sous-entrées à résoudre. Sinon, ces sous-
entrées ne seront pas résolues.
Exemple : une entrée "wifi.domain.org" est déclarée. Si un périphérique, disons une imprimante dont le
nom est "printer.wifi.domain.org", doit être résolu, il doit également être déclaré.
Les utilisateurs se connectant via le portail UCOPIA ont la possibilité d’effectuer des requêtes DNS
avant authentification. Ceci évite le problème de pollution de cache DNS, nuisible aux applications (et
notamment à la plupart des navigateurs) mettant en œuvre un cache DNS et ne respectant pas les
indications de durée de validité des réponses DNS.
Il est de ce fait possible dans certaines conditions de faire transiter des informations avant authentification.
Il est donc recommandé à des fins de sécurité de mettre en œuvre les dispositions suivantes :
• Configurer le serveur DNS utilisé par UCOPIA vers un serveur DNS possédant des fonctionnalités de
détection de trafic DNS suspect.
Pour utiliser ces options, cliquez sur l’item « Filtrage » du sous-menu en partie gauche de la fenêtre.
38
Figure 34 Configuration des options de filtrage
L'onglet « Accès au contrôleur » permet de gérer les ouvertures de flux à destination des services du
contrôleur.
Chaque entrée du tableau correspond à la combinaison d'un service et d'une ou plusieurs sources :
• Service
– Outils d'administration : donner accès à l'outil d'administration UCOPIA. – Portails de
délégation : donner accès aux portails de délégation.
– DNS : donner accès au service DNS (celui-ci est toujours ouvert sur les interfaces d’entrée du
contrôleur).
– LDAP : donner accès à l’annuaire LDAP interne du contrôleur UCOPIA. Ceci permet à des outils
tiers de récupérer des informations sur les utilisateurs et leur profil.
– Agent SNMP : donner accès aux informations SNMP interne du contrôleur UCOPIA. Voir aussi
Section « Interface SNMP ».
39
Important
Contactez UCOPIA pour connaître les identifiants qui vous permettront de vous connecter à la base de
données. La documentation du schéma SQL vous sera également communiquée.
– Syslog : accès au serveur Syslog UCOPIA. Cela est utile par exemple, dans le cas d'une
architecture Cloud pour récupérer, en provenance de l'infrastructure Wi-Fi, les URLs
consultées par les utilisateurs. Ces URLs sont alors injectées automatiquement dans la base
SQL des journaux.
Note
Les services déjà activés sont grisés (non sélectionnables) dans la liste ci-dessus.
• Sources
Vous pouvez définir pour le service choisi, une ou plusieurs sources depuis lesquelles l'accès à
ce service sera autorisé : zone, interface réseau, sous-réseau ou hôte.
Pour ajouter une nouvelle source, cliquez sur le bouton « Ajouter une source » :
L’onglet « Ouverture de port » permet de « traverser » le contrôleur avec ouverture du filtrage. Cela permet
d’ouvrir des flux spécifiques avant authentification des utilisateurs.
Exemple : le port 2000 depuis la zone d'entrée par défaut vers la zone de sortie par défaut.
• Source : la source depuis laquelle l'ouverture est permise (VLAN d’entrée ou de sortie, zone d’entrée
ou de sortie, sous-réseau ou @IP unique (« Hôte »).
• Journaliser le trafic de cette ouverture : choisir Oui pour enregistrer tout le trafic dans les journaux
de connexion.
• Ouverture d'un accès prédéfini : Cette option permet de choisir un accès spécifique au lieu de définir
manuellement destination protocoles et ports.
40
• Ports destination : ports de destination à autoriser.
5.1.7.3. Redirection de port
L’onglet « Redirection de port » permet de rediriger certains flux traversant le contrôleur, de l’interface
d’entrée vers la sortie ou inversement.
• Source : la source par laquelle est émise le trafic à rediriger (zone d’entrée ou de sortie, interface
d’entrée ou de sortie, sous-réseau ou adresse IP unique (« Hôte »).
• Destination initiale : destination du trafic avant redirection. Seul le trafic vers cette destination sera
redirigé.
Important
Les ports ne peuvent être renseignés que si et seulement si les protocoles utilisés sont TCP/UCP, TCP ou
UDP.
41
Figure 38 Items du menu Authentification
Portail captif
Le portail captif se décline dans différents modes, cela va d’un portail très simple d’usage, le portail
« One Click Button » avec un seul bouton de connexion jusqu'à un portail avec demande
d’authentification et saisie d’un formulaire. Les identifiants utilisés pour l’authentification peuvent être
délivrés soit par un administrateur ou administrateur délégué, soit directement depuis le portail grâce
aux différentes méthodes d’auto-enregistrement (réception des identifiants par SMS, par email, par
impression de ticket, etc.). L’accès au portail peut être gratuit ou payant. L’accès payant peut se réaliser
à travers les connecteurs UCOPIA vers des solutions de paiement telles que PayPal ou certains outils
de facturation (PMS).
Le portail peut aussi être couplé à l’infrastructure Shibboleth utilisée dans les environnements
universitaires (Section 5.2.6, « Configuration Shibboleth »). Il peut également être couplé au mécanisme
SAML en environnement entreprise (voir Section « Configuration SAML »).
RADIUS
L’authentification RADIUS se base sur le protocole 802.1x, les méthodes EAP supportées sont PEAP,
TTLS et TLS (UCOPIA Advance uniquement). Voir Section « Configuration RADIUS ».
En version Advance, le serveur RADIUS UCOPIA peut être utilisé en proxy pour dialoguer avec un serveur
RADIUS externe.
Ces différentes méthodes d’authentification permettent de gérer différentes populations d’utilisateurs ayant
chacune des besoins différents en termes de sécurité et d’ergonomie.
L’annuaire interne UCOPIA, qui est utilisé pour le stockage des profils utilisateurs, peut également
être utilisé dans le processus d’authentification. En effet, les utilisateurs créés depuis l’outil
d’administration déléguée (généralement des utilisateurs de type visiteur) sont stockés dans l’annuaire
interne UCOPIA. Il est donc possible de mettre en cascade l’annuaire d’entreprise et l’annuaire UCOPIA.
42
Le mécanisme de cascade d’annuaires met en œuvre plusieurs annuaires et peut être associé à un mode
d’authentification en particulier. Lors de la spécification d’une cascade d’annuaires, il faut préciser quels sont
les annuaires impliqués, l’ordre dans lequel les annuaires seront interrogés, et enfin le mode d’authentification
(portail ou 802.1x/EAP) pour lequel la cascade s’applique.
Cliquez sur l’item « Annuaires » du sous-menu proposé en partie gauche de la fenêtre. La page suivante
s’affiche :
Le tableau résume les annuaires configurés et disponibles pour intervenir dans les processus
d’authentification. Par défaut, seul l’annuaire UCOPIA est proposé (noté local).
Le bloc « Séquence de recherche dans les annuaires » permet de définir d’une part les cascades
d’annuaires pour les modes d’authentification par portail et 802.1x/EAP (voir Section 5.2.2.1, «
Configuration d’une cascade d’annuaires ») et d’autre part la cascade d’annuaires pour l’authentification
des administrateurs et administrateurs délégués.
Pour définir un nouvel annuaire, cliquez sur le bouton « Ajouter » du tableau des annuaires
d’authentification. La page suivante s’affiche :
43
Figure 40 Configuration d’un annuaire d’authentification
• Nom de l’annuaire : nom de l’annuaire. Ce nom sera utilisé pour désigner l’annuaire dans la
spécification des mécanismes de cascade.
• Type d’annuaire : l’annuaire peut être l’annuaire UCOPIA interne, un annuaire de type Active
Directory ou tout autre annuaire standard LDAP (OpenLDAP, Apple OpenDirectory, etc.).
Exemple :
Note
L’annuaire UCOPIA est configuré par défaut. Il correspond à l’annuaire interne embarqué dans le contrôleur
UCOPIA.
44
Avertissement
Si l’annuaire est de type Active Directory et que vous souhaitez mettre en œuvre une authentification
PEAP, vous devez enregistrer le contrôleur UCOPIA dans le domaine Windows. Pour cela, cliquez sur
le lien en début de page (voir Section « Configuration Windows »).
Exemple 1 :
Exemple 2 :
Avertissement
Note
Vous pouvez utiliser le bouton « Tester les paramètres » pour vérifier que la connexion avec
l’annuaire s’établit correctement.
3. Bloc « Paramètres de recherche ». Configurer les paramètres de recherche de profil
Les champs suivants sont utilisés pour déterminer le profil de l’utilisateur (ou groupe) ainsi que d’autres
éléments du compte utilisateur en fonction d’informations présentes dans l’annuaire externe.
45
• Attribut du profil / Profil par défaut : le premier champ « Attribut de profil » permet de spécifier
le nom de l’attribut LDAP spécifiant le profil de l’utilisateur. Si cet attribut n’est pas spécifié ou s’il
n’est pas renseigné dans l’annuaire, le champ « Profil par défaut » sera utilisé. • Attribut du mot
de passe de l’utilisateur / Encodage : le nom de l’attribut LDAP spécifiant le mot de passe de
l’utilisateur et son type d’encodage. Cette option est utilisée dans le cas où un attribut différent de
l’attribut standard est utilisé pour le mot de passe. En particulier, l’utilisation d’un autre attribut est
indispensable si l’on souhaite utiliser un annuaire LDAP qui n’est pas Active Directory avec une
authentification de type PEAP. Le mot de passe peut être en clair (Encodage = User-Password) ou
chiffré (Encodage = NT-Password).
• Attribut de contrôle / Valeur attendue : un attribut de l’annuaire externe qui peut être utilisé dans
le processus d’authentification. Il faut spécifier, d’une part, le nom de l’attribut et, d’autre part, la
valeur attendue de cet attribut. Par exemple, un attribut qui indique si un utilisateur a accepté une
charte ou s’il a payé son forfait.
• Attribut du nom : attribut permettant de récupérer le nom de l’utilisateur afin de le stocker dans les
journaux UCOPIA.
Avertissement
Avertissement
L’utilisation de l’attribut de contrôle est nécessairement liée à un profil utilisateur. En effet, l’attribut
ne sera impliqué dans le processus d’authentification que si l’option « Utiliser les attributs de
contrôle » est configurée dans le profil utilisateur (voir Section « Administration des profils utilisateur
»).
Exemple 1 :
Exemple 2 :
46
Figure 45 Configuration des paramètres de recherche de profil (LDAP)
Note
Vous pouvez utiliser le bouton « Tester les paramètres » pour vérifier que les paramètres sont corrects.
4. Si l’annuaire a vocation à être utilisé pour l’authentification des administrateurs et administrateurs délégués,
cochez la case « Activer l’accès ».
Choisissez le profil d’administration qui sera utilisé pour les administrateurs qui s’authentifieront depuis
cet annuaire.
Le second bloc de la page intitulé « Séquence de recherche dans les annuaires » permet de décrire
trois cascades d’annuaires associées respectivement au mode d’authentification par portail Web, au
mode 802.1x/EAP et à l’authentification des administrateurs. Pour les trois types de séquence de
recherche, l’annuaire interne UCOPIA (local) est utilisé par défaut.
Pour modifier les cascades d’annuaires, cliquez sur le bouton « Modifier » du bloc « Séquence de
recherche dans les annuaires ».
Pour chacune des trois cascades, il est possible de choisir quels seront les annuaires impliqués dans
la cascade, et l’ordre d’interrogation des annuaires.
3 annuaires sont définis (Employés, Partenaires et local). La cascade pour l’authentification Portail
fait intervenir les trois annuaires alors que la cascade EAP seulement deux. La cascade pour les
administrateurs délégués fait intervenir le seul annuaire Employés.
L’ordre de priorité est spécifié en utilisant les boutons « Monter » ou « Descendre », comme indiqué dans
la copie d’écran ci-dessous :
47
Figure 47 Configuration des cascades d’annuaires
Une fois les cascades spécifiées, la page de configuration des annuaires s’affiche comme suit :
48
Figure 48 Exemple de configuration de cascades d’annuaires
Pour gérer les certificats du portail captif, cliquez sur l'item « Certificat » du sous-menu proposé en partie
gauche de la fenêtre. La page suivante :
49
Figure 49 Gestion des certificats
• Les boutons d’actions permettent de voir les détails d’un certificat, de le modifier ou le supprimer.
Pour ajouter un certificat sur le contrôleur UCOPIA, cliquez sur le bouton « Ajouter ». La page suivante
s'affiche :
50
• Renseigner le nom du certificat dans le champ « Label ».
• Pour chaque type de certificat « Certificat de l'Autorité de certification (CA) » et « Certificat du
contrôleur » ainsi que pour la « Clé privée du contrôleur », chargez les certificats en utilisant les
boutons « Parcourir… », puis cliquez sur « Valider ».
• Renseigner le mot de passe de la clé privée dans le champ « Mot de passe de la clé privée ».
• Cochez la case « Défaut » pour utiliser ce certificat par défaut.
Un clic sur un lien (exemple : « Certificat du contrôleur UCOPIA ») permet de visualiser le contenu du
certificat dans l’encadré « Contenu du certificat ». Le certificat peut également être téléchargé.
Note
Nous rappelons que le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié
à une base d’identification (base de données, annuaire LDAP, etc.) et un client RADIUS, appelé NAS
(Network Access Server), faisant office d’intermédiaire entre l’utilisateur final (appelé supplicant) et le
serveur. L’ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffré et authentifié
grâce à un secret partagé.
Pour configurer le serveur RADIUS UCOPIA, cliquez sur l’item « Radius » du sous-menu proposé en
partie gauche de la fenêtre. La page suivante s’affiche :
51
Figure 52 Configuration du RADIUS
• Le bloc « Paramètres EAP » permet de configurer les paramètres pour une authentification
802.1x/EAP. Concernant le mécanisme de réauthentification EAP, il est possible de choisir entre
3 cas : (1) pas de réauthentification, (2) une réauthentification qui sera contrôlée par le NAS (point
d’accès, par exemple), (3) une réauthentification gérée par le RADIUS UCOPIA avec un temps de
réauthentification configurable en secondes (par défaut, le temps est configuré à 40 secondes).
• Le bloc « Configuration des NAS » permet de configurer les paramètres des NAS (les NAS seront les
points d’accès dans le cas d’une architecture Wi-Fi).
52
Figure 53 Exemple de configuration des NAS
Important
L’exemple ci-dessous correspond à une architecture avec un équipement Wi-Fi sur le site local
; l’échappement Internet sera local au site.
Constructeur
53
Figure 55 Liste des équipements compatibles
Echappement local
Cette option permet une architecture avec échappement local lorsque les flux utilisateurs
ne sont pas centralisés. Si vous utilisez la redirection avec une architecture où les flux
utilisateurs sont centralisés, ne cochez pas la case.
NAS-IP-Address (optionnel)
Certificat du contrôleur
54
5.2.4.2. Configuration du RADIUS en mode proxy
Le RADIUS UCOPIA peut se configurer en mode proxy pour interroger un ou plusieurs RADIUS externes.
L’aiguillage vers le RADIUS externe s’opère grâce à un « realm ». Le « realm » va donc servir à déterminer
vers quel serveur RADIUS le serveur RADIUS UCOPIA doit envoyer sa requête.
Le realm n’est pas explicitement mentionné dans l’identifiant utilisateur (exemple : identifiant «
jdupond »). Dans ce cas, la requête sera envoyée à un serveur qui sera précisé lors de la
configuration proxy.
Le realm existe mais n’est pas connu de la configuration. Dans ce cas, la requête sera envoyée
à un serveur qui sera précisé lors de la configuration proxy.
Par défaut, le RADIUS UCOPIA sera utilisé pour à la fois le realm NULL et le realm DEFAULT, comme
le montre la configuration par défaut ci-dessous :
Note
Pour utiliser le serveur RADIUS UCOPIA comme proxy, cliquez sur le bouton « Ajouter » du tableau «
Configuration des realms et des serveurs proxy RADIUS ». La page suivante s’affiche :
55
Figure 57 Configuration du RADIUS UCOPIA en mode proxy
Il faut tout d’abord définir le nom du realm puis le RADIUS sur lequel le realm sera opérant.
Afin de faire de la facturation (ou accounting), il faut définir le port d’accounting. Dans ce cas,
les messages standard RADIUS Accounting seront envoyés au RADIUS distant. Les messages
sont par exemple Acc-start (après une authentification réussie et un démarrage de session),
AccStop (pour une déconnexion et fin de session). Le port standard d’accounting est le port 1813.
Puis, vous devez choisir le profil utilisateur qui sera utilisé par défaut. En effet, le mécanisme
de proxy RADIUS ne permet pas de rechercher le profil de l’utilisateur dans l’annuaire distant.
Vous pouvez renseigner un deuxième profil utilisateur en cas de profil inexistant sur ce contrôleur.
L’option suivante permet d’indiquer si la requête transmise au serveur RADIUS externe doit
conserver ou non le realm dans l’identifiant utilisateur.
L’option « Opérateur WISPr » permet de définir un label qui sera affiché sur le portail lorsque
l’on configure un realm pour une utilisation vers un serveur RADIUS d’un opérateur WISPr (voir
section « Configuration portails »).
Enfin, il est possible de renseigner pour chaque RADIUS distant un serveur principal et un serveur
secondaire.
Renseignez les informations permettant d'identifier chaque serveur RADIUS d'autorité, à savoir
l'adresse IP du serveur RADIUS, le numéro de port sur lequel il est accessible, et son secret.
Pour le serveur RADIUS secondaire, vous disposez de deux options :
56
– fail-over : le back-up du serveur RADIUS se fait par un système de basculement d'un serveur
à l'autre. Un seul serveur RADIUS est actif et le second, qui est donc passif, prend le relai en
cas de défaillance du premier.
– load-balancing : le back-up du serveur RADIUS se fait par répartition de charge. Les deux
serveurs RADIUS sont alors actifs et les demandes sont réparties entre les deux.
Pour configurer les options avancées, ouvrir le cadre « Options avancées pour l’authentification
RADIUS ». Les options s’affichent comme suit.
La deuxième option permet alors de configurer UCOPIA afin de décider quelle authentification sera
prise en charge par notre serveur RADIUS :
Il est également possible de désactiver l’authentification. Dans ce cas, aucune session n’est créée
au niveau du contrôleur UCOPIA lorsqu’une authentification par RADIUS est réussie.
• L’option suivante permet d’activer un délai de réponse lors de l’échec d’une authentification par
RADIUS (Access-Reject). Cela apporte une protection de sécurité.
5.2.5. Configuration Windows
Pour enregistrer le contrôleur UCOPIA dans un domaine Windows, cliquez sur l’item « Windows » du
sous-menu en partie gauche de la fenêtre. La page suivante s’affiche :
57
Figure 59 Configuration de l’authentification transparente Windows
Exemple :
Si d’autres serveurs Windows doivent être déclarés, pour assurer une redondance par exemple,
utilisez le bloc « Déclaration des serveurs Windows miroirs » en spécifiant leurs adresses IP.
Vocabulaire :
58
SP : Service provider Fournisseur de service DS : Discovery Service
Service de découverte
1. Lorsqu'un utilisateur veut s'authentifier, il est redirigé vers une page listant l'ensemble des
universités de la communauté (le DS). Une fois qu'il a choisi son institution, il est redirigé vers l'IdP
de son institution.
En général c'est une page dans laquelle il y a un formulaire identifiant/mot de passe et le logo de
l'établissement.
2. Si l'authentification est réussie, l'utilisateur est redirigé sur le portail. l'IdP fournit au contrôleur un
ensemble d'attributs dont l'attribut affiliation (ou rôle). Cet attribut va être utilisé pour tenter de faire
correspondre cet utilisateur à un profil UCOPIA. Le contrôleur va tenter de donner à l'utilisateur le
profil le plus élevé possible compte tenu des différentes affiliations retournées par l'IdP, en essayant
de les faire correspondre, sans tenir compte de la casse. Par exemple, si l'attribut d'affiliation
retourné est affiliation: member;student;manager, et que le contrôleur propose les profils
Student et Manager, l'utilisateur aura les privilèges du profil manager.
Pour configurer l’authentification Shibboleth, cliquez sur l’item « Shibboleth » du sous-menu en partie
gauche de la fenêtre.
59
Figure 62 Création d'une nouvelle configuration Shibboleth
• Certificat de la fédération : Ce certificat est fourni par la fédération. Il servira à chiffrer les
messages émanant du contrôleur. Dans le cas des fédérations RENATER, ce certificat est
prédéfini.
60
• Certificat du service (x.509) : Ce certificat est utilisé pour chiffrer tous les messages émis
par les IdP et à destination du contrôleur. Il doit donc être renseigné dans le formulaire
d'adhésion à la fédération. Il sera inclus dans les méta données et diffusé à tous les IdP de
la fédération. Si vous laissez ce champ vide, le contrôleur auto-générera un certificat auto
signé.
• Clé privée du certificat de service : Cette clé privée ne doit être connue que par le
contrôleur. Elle servira à déchiffrer les messages qui lui sont destinés. Elle peut
éventuellement être protégée par un mot de passe (ci-dessous)
Pour définir des règles d'attribution de profils, cliquez sur le bouton Ajouter une règle.
Il convient alors de sélectionner le ou les instituts d'origine ainsi que les types d'affiliation puis
de leur attribuer un profil type.
61
3. Cliquez sur le bouton Valider.
4. Enregistrez -vous en tant que nouveau fournisseur de service (Service Provider : SP) sur le réseau
RENATER (https://services-federation.renater.fr/gestion?federation=test), en reprenant les
informations fournies dans le formulaire à l'étape précédente.
Par défaut, les configurations existantes sont affichées. L’ajout ou la modification d’une configuration se
présente comme suit :
62
Figure 65 Configuration SAML
• Certificat, clé privée et secret (optionnel) : permet d’importer un certificat avec sa clé
privée. Ce certificat sera présent dans le fichier XML qui sera généré par le contrôleur
une fois la configuration terminée. Il permettra à l’IdP d’authentifier le contrôleur
UCOPIA. Le secret est celui protégeant la clé privée si celle-ci est chiffrée.
Une fois la configuration validée, la liste des configurations disponibles permet de télécharger
le fichier de métadonnées XML qu’il faut importer dans l’IdP. Pour la configuration du fournisseur
SAML (ADFS, …), veuillez vous reporter à la documentation de celui-ci.
Note
Il est nécessaire d’ouvrir certains accès avant authentification afin que l’authentification portail basée sur
SAML fonctionne.
63
5.3. Configuration du « Zéro configuration »
Le « zéro configuration » va permettre à un utilisateur du réseau contrôlé par UCOPIA d’accéder aux
ressources autorisées par son profil sans configuration préalable de son poste ou de ses applications.
Cliquez sur l’item « Zéro configuration » proposé en partie gauche de la fenêtre. Le sous-menu s’affiche
et propose les items suivants :
Pour activer le mode « IP fixe », cliquez sur l’item « IP fixe » du sous-menu en partie gauche de la fenêtre.
La page suivante s’affiche :
Sélectionnez le VLAN sur lequel le mode « IP fixe » sera activé (case à cocher), puis cliquez sur le bouton
« Activer ».
Le statut est affiché en vert quand le mode est activé, en rouge sinon. Par défaut, le mode n’est activé
sur aucun VLAN.
5.3.2. Configuration du service Web
Ce mode va permettre à un utilisateur d’utiliser son navigateur Internet, quelle que soit la configuration
proxy de celui-ci.
Cliquez sur l’item « Web » du sous-menu proposé en partie gauche de la fenêtre. La page suivante s’affiche
:
64
Figure 68 Configuration du service Web
• Le premier bloc va permettre de spécifier les ports proxy du navigateur Web client pris en
charge par le contrôleur UCOPIA. On distingue deux cas : les ports pris en charge pour la
redirection vers le portail d’authentification (avant authentification) et les ports pris en charge
après authentification. Les ports 80 et 443 sont toujours pris en charge avant authentification.
Cela est fait de façon automatique, ces ports n’ont pas à être présent la liste des ports pris
en charge avant authentification. Par défaut, ils sont également inclus dans les ports pris en
charge après authentification, en plus des ports 8080 et 3128. Cette configuration par défaut
est celle qui convient pour pouvoir appliquer un filtrage d’URLs lorsqu’il est activé sur un
profil. Les ports doivent être séparés par des « ; ».
En dessous des listes de ports, une option permet d’activer l’ajout d’une entête
XForwardedFor contenant l’adresse IP de l’équipement utilisateur dans les requêtes HTTP (la
nature sécurisée de HTTPS ne permet cet ajout dans ce type de requêtes).
• Le deuxième bloc va être utilisé dans le cas où l’on souhaite que les flux HTTP des utilisateurs
soient redirigés vers une passerelle Web. Par défaut, aucune redirection n’est configurée. Si
vous souhaitez activer le service de redirection vers une passerelle Web, il faut cocher la
case « Activer la redirection vers une passerelle Web pour les ports ».
Cette redirection peut s'effectuer soit vers un proxy parent, soit vers un service ICAP.
Proxy parent
Il faut cocher la case « Proxy parent » et renseigner les champs relatifs au proxy Web à utiliser,
l'adresse IP du proxy, ainsi que son port d'écoute.
L’option suivante permet de rediriger également les flux HTTPS reçus sur le port 443, si le
proxy parent les supporte. Les flux HTTPS en mode proxy (requêtes de type CONNECT)
sont toujours redirigés vers le proxy parent s’il est configuré.
65
Dans le cas des comptes utilisateurs, il est fortement recommandé de renseigner également les
identifiants du compte qui sera utilisé pour authentifier le contrôleur.
Note
L’authentification par compte utilisateur permet d’envoyer au proxy parent des informations relatives à
l’utilisateur (login et mot de passe). Le proxy pourra alors utiliser ces informations pour appliquer des
politiques de sécurité par utilisateur ou profil utilisateur (filtrage d’URL par exemple).
Service ICAP
Cette option permet d'utiliser un outil externe de filtrage d'URLs à travers le protocole ICAP,
interface générique pour la communication avec les solutions de filtrage de contenu sur
Internet.
• Le dernier bloc permet à travers le protocole WPAD (Web Proxy Autodiscovery Protocol) de
configurer automatiquement les navigateurs Web des utilisateurs (clients du proxy Web). Pour
cela, il faut télécharger un fichier wpad.dat sur le contrôleur UCOPIA. En cas de téléchargement
erroné, vous pouvez restaurer le fichier précédent à l’aide du bouton « Restaurer ».
Cliquez sur le bouton « Valider » à chaque étape.
66
5.3.3. Configuration de la redirection vers un serveur de messagerie
Si vous souhaitez que les flux SMTP des utilisateurs soient redirigés vers un serveur de messagerie
d’entreprise, il faut activer le service de redirection vers un serveur de messagerie.
Cliquez sur l’item « Messagerie » du sous-menu proposé en partie gauche de la fenêtre. La page suivante
s’affiche :
Cochez la case « Activer ». Deux modes sont proposés, comme le montre la page
suivante :
67
Figure 72 Choix des modes de configuration de redirection SMTP
• Mode Redirection
Il permet que l’ensemble des flux SMTP soit redirigé vers un serveur de messagerie.
Sélectionnez le mode redirection en cochant la case « Rediriger le trafic SMTP vers un serveur
de messagerie », et renseignez le champ « Adresse IP ».
Exemple :
Il permet l’activation du relai SMTP UCOPIA afin de relayer les emails vers un compte de
messagerie. Pour cela, sélectionnez le mode en cochant la case « Utiliser le relai SMTP du
contrôleur », et renseignez les champs suivants :
68
– Adresse IP ou DNS : à défaut de fournir l’adresse IP du serveur de messagerie, un nom
DNS peut être spécifié ;
Exemple :
Avertissement
– le serveur de messagerie bloque les messages dont l’adresse email de l’expéditeur n’est pas identique
à celle spécifiée pour le compte ;
Le bouton « Tester les paramètres » permet de vérifier, avant validation, que les paramètres sont corrects.
UCOPIA propose un mécanisme permettant aux utilisateurs d’imprimer sur une imprimante sans
avoir à installer le pilote correspondant. En effet, UCOPIA, grâce à son serveur d’impression, mettra le
pilote de l’imprimante à disposition de l’utilisateur de façon transparente. Pour mettre en œuvre ce
service, il faut indiquer à UCOPIA quelles sont les imprimantes qui pourront être proposées à l’utilisateur
dans ce mode transparent.
Pour configurer les imprimantes, cliquez sur l’item « Imprimantes » du sous-menu proposé en partie
gauche de la fenêtre. La page suivante s’affiche :
69
Figure 75 Configuration des imprimantes
70
Figure 76 Choix du protocole de l'imprimante
3. Entrez l'adresse permettant de référencer cette imprimante s'il s'agit d'une imprimante réseau.
4. Décrivez cette imprimante afin que les utilisateurs sachent de quelle imprimante il s'agit.
Cochez cette case pour partager l'imprimante via le réseau Samba (SMB/CIFS).
5. Sélectionnez le fabriquant de l’imprimante, ou choisissez directement un fichier PPD s'il vous a été fourni par
le fournisseur de l'imprimante.
71
Figure 79 Choix du fabricant de l'imprimante
72
Note
Il s'agit là des options par défaut, que l'utilisateur pourra redéfinir pour chaque tâche d'impression.
Une fois l’imprimante ajoutée, elle apparaît dans la page des imprimantes.
Pour afficher davantage de détails sur une imprimante, cliquez sur son nom dans le tableau.
Sur cette page, plusieurs actions sont possibles pour administrer l’imprimante :
73
• Maintenance : commandes de maintenance de l'imprimante (pages de test, nettoyage, arrêt/démarrage)
et des tâches soumises (rejet, déplacement, purge)
• Administration
• Tâches : affiche la liste des tâches soumises à cette imprimante : les boutons permettent de basculer
entre tâches actives ou terminées. Le champ de recherche permet de filtrer les tâches en affichant
uniquement les tâches dont le nom contient la chaîne recherchée.
5.4. Personnalisation
Cliquez sur l’item « Personnalisation » proposé en partie gauche de la fenêtre. Le sous-menu s’affiche et
propose les items suivants :
Il est possible de créer autant de portails que souhaité. Une fois un portail créé, il pourra être associé
à une ou plusieurs zones.
Chaque portail peut être personnalisé dans son mode de fonctionnement et dans son apparence.
Cliquez sur l’item « Portails » du sous-menu proposé en partie gauche de la fenêtre. Le tableau de
gestion des portails propose 3 onglets permettant de visualiser respectivement les associations, les
configurations et les modèles visuels.
1. Onglet Associations
74
Figure 85 Tableau des associations
• Sur la zone d’entrée « Default-in » sont définis un portail captif, un portail de délégation.
• Sur la zone de sortie « Default-out » est défini un portail de délégation.
• Nom de la zone : le nom de la zone d’entrée ou de sortie sur laquelle s’applique l’association.
• Nom de la configuration : nom de la configuration en relation avec l’association.
• Type de portail : Portail captif ou Portail de délégation.
• Nom du modèle visuel : nom du modèle visuel de portail en relation avec l’association.
• Statut : vert indique que l’association est active, rouge inactive.
• Actions : icônes permettant de modifier ou de supprimer l’association.
: modification de l’association
: suppression de l’association
2. Onglet Configurations
Des configurations par défaut sont proposées : « default-portal » pour le portail captif et « defaultdeleg »
pour le portail de délégation.
Le tableau des configurations présente les colonnes suivantes :
75
• Nom de la configuration : le nom de la configuration classé par type de portail.
• Formats : les différents formats pour lesquels le portail est défini. Les formats possibles sont : PC,
Tablette, Smartphone.
: modification de la configuration
: suppression de la configuration
Pour visualiser le tableau des modèles visuels, cliquez sur l’onglet « Modèles visuels ».
Il existe deux catégories de modèles, les modèles d’usine qui ne sont pas modifiables directement
et les modèles créés par l’administrateur.
• standard : un modèle aux couleurs UCOPIA et au design Responsive. Il s’adapte à tous types
d’équipements (Laptop, Tablet, Smartphone).
Un modèle par défaut est prédéfini pouvant être utilisé pour les portails captif et de délégation, il se
nomme « default » et est basé sur le modèle d’usine « standard ».
76
: suppression du modèle
5.4.1.1. Associations
Un portail se configure en créant une « association ». Une association met en relation une zone, un
mode de fonctionnement de portail (appelé « Configuration ») et un modèle visuel de portail (aspect
graphique).
5.4.1.1.1. Ajout
Pour ajouter une nouvelle association, cliquez sur l’onglet « Associations » du tableau des portails,
puis cliquez sur le lien « Ajouter une association ». Utilisez le lien se trouvant sur la ligne « Zones
d’entrée » pour créer une association sur une zone d’entrée. Utilisez le lien se trouvant sur la ligne «
Zones de sortie » pour créer une association sur une zone de sortie.
Par exemple, pour une configuration d’une association sur une zone d’entrée, la page suivante s’affiche.
Vous devez choisir la zone correspondant à l’association, puis les configurations des
portails captif, de délégation, d'application mobile ou de connexion automatique et enfin le modèle
visuel.
Dans le cas où vous souhaitez activer l’association et qu’une association active sur la même zone existe
déjà, l’association existante est désactivée au profit de la nouvelle.
77
5.4.1.1.2. Modification
Par exemple, dans le cas d’une association mettant en œuvre une zone d’entrée et un portail de délégation, la
page de modification suivante s’affiche.
Il est alors possible de modifier la configuration et le modèle visuel. L’association peut être activée ou
désactivée.
La section qui suit présente le fonctionnement des différents modes d'enregistrement et d'authentification.
Mode Fonctionnement Configuration
78
Tableau 1 Récapitulatif des modes d'enregistrement
L’utilisateur s’authentifie avec un couple login/mot de passe. Son compte doit préalablement avoir été
créé. Il s’agit du mode par défaut.
79
5.4.1.2.1.2. Authentification en connexion automatique
Dans ce mode, l’utilisateur est redirigé vers une page spécifiée dans le champ « URL de redirection
automatique ». Dès lors que la redirection est effectuée, l’utilisateur est authentifié.
Note
Si le champ « URL de redirection automatique » n’est pas renseigné, l’utilisateur sera redirigé vers la
page Web qu’il avait initialement demandée.
Avertissement
Ce mode crée un profil et un utilisateur générique qui seront utilisés pour l'authentification des
utilisateurs.
L'utilisateur bénéficie d'un accès simplifié en un seul clic, toutefois son activité est tracée de par la
connaissance de son équipement. La saisie d’informations personnelles et/ou l’acceptation d’une charte
peuvent aussi être proposées.
Un seul bouton apparaît, sauf si vous avez demandé la saisie de champs, obligatoires ou non (voir Figure
5.130, « Champs de saisie à l'enregistrement »).
L’utilisateur s’auto-enregistre sur le portail captif UCOPIA en cliquant sur le bouton intitulé « Recevez vos
identifiants sur ce portail » (voir copie d’écran ci-dessous).
80
Figure 92 Portail captif avec enregistrement libre
L’utilisateur renseigne les champs « Identifiant », « Mot de passe », « Nom » et « Prénom » (voir
copie d’écran ci-dessous). L’utilisateur peut ensuite s’authentifier de façon standard sur le portail avec
ses identifiants. Le compte de l’utilisateur est automatiquement créé dans l’annuaire UCOPIA. Son profil
utilisateur sera celui qui est spécifié lors de la configuration du mode.
81
Figure 93 Auto-enregistrement libre d’un utilisateur depuis le portail captif
Ce mode permet à l'utilisateur de s'enregistrer lui-même tout en lui fournissant un ticket de rappel de ses
identifiants.
82
Figure 94 Portail captif avec possibilité d'auto-enregistrement et impression de ticket
L'utilisateur choisit soit un mot de passe, soit un identifiant, la partie complémentaire (identifiant ou
mot de passe respectivement) sera attribuée automatiquement. Ce mode oblige l'utilisateur à passer
par un point contact (accueil ou autre) pour récupérer ses identifiants complets.
83
Figure 95 Enregistrement pour impression de ticket
L’utilisateur s’auto-enregistre sur le portail captif UCOPIA en cliquant sur le bouton « SMS » (voir copie
d’écran ci-dessous).
84
Figure 96 Portail captif avec enregistrement par SMS
L’utilisateur renseigne les champs « Nom », « Prénom » et « Numéro de téléphone » (voir copie
d’écran ci-dessous). Le mot de passe est envoyé par SMS sur le téléphone portable de l’utilisateur.
L’utilisateur peut ensuite s’authentifier de façon standard sur le portail, son login sera son numéro de
téléphone. Le compte de l’utilisateur est automatiquement créé dans l’annuaire UCOPIA. Son profil
utilisateur sera celui qui est spécifié lors de la configuration du mode.
85
Figure 97 Auto-enregistrement par SMS d’un utilisateur depuis le portail captif
Avertissement
L’utilisateur s’auto-enregistre sur le portail captif UCOPIA en cliquant sur le bouton email (voir copie d’écran
ci-dessous).
86
Figure 98 Portail captif avec enregistrement par email
L’utilisateur renseigne les champs « Nom », « Prénom » et « Adresse e-mail » (voir copie d’écran
ci-dessous). Les identifiants de connexion sont envoyés par email à l’adresse spécifiée, et l’utilisateur
dispose d’un temps limité pour consulter sa messagerie, et ainsi prendre connaissance de son mot de
passe. L’utilisateur peut ensuite s’authentifier de façon standard sur le portail. Le compte de l’utilisateur
est automatiquement créé dans l’annuaire UCOPIA. Son profil utilisateur sera celui qui est spécifié lors
de la configuration du mode. Les temps dont dispose l’utilisateur pour consulter son mail ainsi que les
protocoles ouverts permettant la lecture du message sont configurables.
87
Figure 99 Auto-enregistrement par email d’un utilisateur depuis le portail captif
L’utilisateur s’auto-enregistre sur le portail captif UCOPIA en effectuant un paiement en ligne. Ce paiement en
ligne est associé à l’achat d’un forfait à choisir sur le portail.
Pour s’enregistrer, l’utilisateur clique sur le portail sur le bouton de paiement en ligne (voir copie d’écran ci-
dessous).
88
Figure 100 Portail captif avec paiement en ligne via PayPal
L’utilisateur renseigne les champs « Identifiant », « Mot de passe », « Nom » et « Prénom » (voir copie
d’écran ci-dessous).
Une fois le forfait choisi, l’utilisateur est redirigé vers le site PayPal sur lequel il peut payer son forfait,
soit en utilisant son compte PayPal, soit en utilisant sa carte de crédit. Si la transaction s’est effectuée
avec succès, l’utilisateur peut se connecter sur le portail en utilisant les identifiants qu’il a choisis. Les
identifiants peuvent être envoyés à l’utilisateur par SMS si la configuration du contrôleur l’autorise.
89
Figure 101 Enregistrement lors d’un paiement en ligne via PayPal
90
Figure 102 Choix d’un forfait avant paiement en ligne PayPal
L’utilisateur s’auto-enregistre sur le portail captif UCOPIA en effectuant un paiement en ligne. Ce paiement en
ligne est associé à l’achat d’un forfait à choisir sur le portail.
Pour s’enregistrer, l’utilisateur clique sur le portail sur le bouton de paiement en ligne (voir copie d’écran ci-
dessous).
91
Figure 103 Portail captif avec paiement en ligne via Ingenico
L’utilisateur renseigne les champs « Identifiant », « Mot de passe », « Nom » et « Prénom » (voir copie
d’écran ci-dessous).
Une fois le forfait choisi, l’utilisateur est redirigé vers le site Ingenico sur lequel il peut payer son forfait,
soit en utilisant son compte Ingenico, soit en utilisant sa carte de crédit. Si la transaction s’est effectuée
avec succès, l’utilisateur peut se connecter sur le portail en utilisant les identifiants qu’il a choisis. Les
identifiants peuvent être envoyés à l’utilisateur par SMS si la configuration du contrôleur l’autorise.
92
Figure 104 Enregistrement lors d’un paiement en ligne via Ingenico
93
Figure 105 Choix d’un forfait avant paiement en ligne Ingenico
Il faut, avant de pouvoir configurer ce type de portail, créer un compte Ingenico et configurer UCOPIA
avec les informations relatives à ce compte. Pour cela, il faut se rendre dans le menu « Services
externes », item « Ingenico » (voir Section « Configuration du service Ingenico »).
Le portail Ingenico fonctionne avec la notion de forfait. Le forfait est défini par l’administrateur
UCOPIA. Cela peut être un forfait 1h, 3h, ou forfait « emails », ou forfait « Tous les jours ouvrés de 16h
à 18h », etc. Les forfaits sont proposés au choix de l’utilisateur sur le portail captif avant paiement (voir
Section « Administration des forfaits »).
Le couplage UCOPIA/PMS (Property Management System) fonctionne avec une notion de forfait. Le
forfait est défini par l’administrateur UCOPIA. Cela peut être un forfait 1h, 3h, ou forfait « emails », ou
forfait « Tous les jours ouvrés de 16h à 18h », etc. Les forfaits sont proposés au choix de l’utilisateur
sur le portail UCOPIA après authentification.
La copie d’écran suivante montre un exemple de portail captif avec choix de forfaits qui seront facturés par le
système PMS.
94
Figure 106 Exemple de portail captif avec utilisation de forfaits (PMS)
Le couplage UCOPIA/PPS (Pre-Paid System) fonctionne avec des cartes prépayées. À chaque carte
est associé un temps de connexion. L’utilisateur s’authentifie sur le portail avec l’identifiant de sa carte
et un captcha code. Le temps octroyé par la carte et le temps consommé s’affichent sur le portail après
authentification.
95
Figure 107 Portail captif avec utilisation d’un PPS
Ce mode permet d'authentifier des utilisateurs référencés par un fournisseur d'identité tiers.
96
Figure 108 Portail captif avec authentification Shibboleth
L'utilisateur indique son établissement d'origine et ses identifiants, puis est authentifié par le service tiers.
L’utilisateur s’auto-enregistre sur le portail captif UCOPIA en cliquant sur un des boutons représentant
les réseaux sociaux suivants « Facebook », « Google », « LinkedIn » ou « Twitter ». Il également
possible d’utiliser OpenID Connect. Il faut pour cela disposer d’une application compatible OpenID
Connect.
97
Figure 109 Portail captif avec authentification par réseaux sociaux
Pour ajouter une nouvelle configuration, cliquez sur l’onglet « Configurations » du tableau des
portails, puis cliquez sur le lien « Ajouter une configuration ». Utilisez le lien se trouvant sur la ligne «
Portail captif ».
98
Figure 110 Ajout d’une configuration de portail captif
99
Note
Le mot de passe de sécurisation du portail sera le même pour tous les utilisateurs du portail.
Il faut spécifier s’il s’agit d’un portail hébergé par le contrôleur UCOPIA, ou d’un portail externe, c'estàdire
hébergé par un autre serveur (portail d’entreprise par exemple).
• Portail hébergé par le contrôleur : le portail est hébergé par le contrôleur UCOPIA et son mode
de fonctionnement doit être spécifié (voir Section « Fonctionnement du portail captif selon
différents modes »).
Il est également possible de rediriger l’utilisateur vers un portail externe à UCOPIA avant qu’il
ne revienne sur le portail hébergé par UCOPIA. Ce fonctionnement peut être utile pour demander
à l’utilisateur des informations particulières, etc. Pour activer ce mode, cochez la case «
Redirection vers un portail externe avant le portail du contrôleur », et renseignez l’URL de
redirection vers le portail externe. Ce mode est compatible avec les différents modes de
fonctionnement du portail UCOPIA.
Avertissement
L’URL définissant le chemin d’accès au portail externe doit être déclarée comme URL en accès libre, c'està-dire
accessible avant authentification (voir Section « Configuration d’URL en accès libre »).
Sur le portail externe, vous devez créer un lien hypertexte et utiliser le code PHP suivant pour revenir
vers le portail UCOPIA.
• Portail externe : dans ce cas, le portail UCOPIA est inhibé, et on utilise uniquement un portail
externe. L’utilisateur est automatiquement redirigé vers le portail dont l’adresse est indiquée dans
le champ « URL de redirection ».
Avertissement
L’URL définissant le chemin d’accès au portail externe doit être déclarée comme URL en accès libre, c'està-dire
accessible avant authentification (voir Section « Configuration d’URL en accès libre »).
100
Figure 112 Exemple de configuration d’un portail externe
Avertissement
En cas d’utilisation unique d’un portail externe, il faudra que celui-ci soit enrichi avec les fonctions
d’authentification UCOPIA. Pour cela, UCOPIA fournit une API permettant de réaliser les fonctions
d’authentification dans tous les modes de fonctionnement (standard, SMS, email, etc.).
Note
Dans le cas d'un contrôleur local d'une architecture Cloud (voir section « Configuration en
architecture Cloud »), le portail doit être configuré avec une URL de redirection vers un portail externe
(celui du contrôleur Central). L'URL doit avoir la syntaxe suivante : https:// <DNS du contrôleur dans
le cloud>/zone/<nom de la zone dans le cloud>.
Le portail fourni par défaut est modèle responsive. Il s’adapte automatiquement aux différents types
d’équipements utilisateurs. Toutefois, lors de l’utilisation d’ancien modèle de portail UCOPIA, ou lors de
l’utilisation d’un modèle personnalisé basé sur un ancien modèle UCOPIA, il est possible de définir un
portail adapté à chaque type de matériel utilisateur. Quatre types de formats sont proposés :
• Smartphone : les matériels de type téléphone mobile se verront attribuer ce portail. Il sera nécessaire de
définir un graphisme approprié lors de la personnalisation de celui-ci.
Il est possible de définir différentes options qui vont affecter de façon globale le fonctionnement du portail :
• Afficher les modes d’enregistrements en premier : cette option permet d’inverser l’affichage
des blocs d’enregistrement et d’authentification. Le bloc d'enregistrement sera au-dessus du
bloc d'authentification sur le portail captif.
• Activer le contournement CNA intelligent pour les équipements Android : cette option active
un mode de contournement pour l’assistant de portail captif Android (CNA). Au lieu d’afficher
le portail captif dans le CNA, l’utilisateur verra à la place un guide lui permettant d’accéder
au portail dans son navigateur habituel. Les modes d’enregistrements nécessitant le passage
par une application autre que le CNA s’en trouvent alors facilités (validation d’un paiement
CB par code SMS par exemple). L’utilisateur a également toujours accès au portail même
après authentification, ce qui est utile lorsque celui-ci est enrichi et apporte du contenu
marketing (promotions, quizz, sondage, …). L’activation de ce mode sur une configuration
101
de portail active impose de l’utiliser sur toutes les autres configurations actives proposant des modes
basés sur les réseaux sociaux.
• Définir une charte régissant l’utilisation des données personnelles : cette option affiche une
charte à accepter ou refuser (case à cocher) dans le cas où des informations personnelles
seraient demandées à l’utilisateur.
• Activer la suppression des données personnelles sur le service Wi-Fi Analytics : cette option
n’est disponible que lorsque l’export vers ce service est activé. Il est alors possible de
configurer la durée de rétention qui est d’un an par défaut.
5.4.1.2.2.4. Authentification
Cliquez sur le bouton « Ajouter un nouveau mode » pour sélectionner un ou plusieurs modes d'authentification
:
Cliquez sur les items d'authentification souhaités pour ce portail puis fermez la fenêtre.
Note
Certains modes peuvent s’utiliser conjointement. Il est par exemple possible de définir un portail fonctionnant
avec identifiants et OpenID Connect.
102
L’utilisateur s’authentifie avec un couple login/mot de passe. Son compte doit avoir été préalablement créé.
2. Coupler l'authentification portail avec RADIUS : le serveur RADIUS est généralement utilisé dans le
cas d’une architecture d’authentification basée sur le protocole 802.1x. Avec UCOPIA, il est possible
d’utiliser RADIUS couplé à une authentification de type portail Web. La résultante de ce couplage
permet, d’une part, de bénéficier de la simplicité de l’authentification par portail (aucun prérequis sur le
poste de l’utilisateur) et, d’autre part, de bénéficier de la puissance de RADIUS et, en particulier, des
mécanismes de proxy.
1. Dans ce mode, il n’y a pas de portail : l’utilisateur est redirigé vers une page Web que l’on peut spécifier.
2. Dès lors que la redirection est effectuée, l’utilisateur est authentifié.
Mode Shibboleth :
Mode SAML :
Mode PMS :
Ce mode s’utilise dans le cas d’une interaction avec un système de facturation (PMS). Ce mode
suppose que l’administrateur ait défini au préalable des forfaits (voir la section « Administration des
forfaits »). Il faut également que l’administrateur ait configuré au préalable la connexion avec le logiciel
de facturation PMS, voir section « Configuration du service PMS ».
Pour la configuration de ce mode :
103
Figure 116 Configuration de portail captif avec PMS
3. Cochez la case « Autoriser les utilisateurs à modifier leurs forfaits » si vous souhaitez permettre aux
utilisateurs ayant choisi un forfait sur le portail UCOPIA de l'interrompre pour un nouveau forfait.
Mode PPS :
Ce mode s’utilise dans le cas d’une interaction avec un système de cartes prépayées. Ce mode
suppose que l’administrateur ait configuré au préalable la connexion avec le logiciel de cartes prépayées
PPS, voir section « Configuration du service PPS ».
Ce mode permet de déléguer l’authentification à des opérateurs WISPr (iPass, Boingo, …). Il
nécessaire d’avoir au préalable configurer les realms RADIUS nécessaires, voir section « Configuration
RADIUS ».
Ces modes s’utilisent pour permettre aux utilisateurs de s’authentifier par leur compte géré par le
réseau social choisi. Ces modes supposent que l’administrateur ait configuré au préalable les réseaux
sociaux, voir section « Configuration des réseaux sociaux ». Les étapes suivantes sont identiques pour
les différents réseaux sociaux disponibles :
1. Sélectionnez le mode « Facebook », « LinkedIn », « Google », « Twitter », et/ou « OpenID Connect ».
2. Choisissez le profil auquel sera lié l’utilisateur.
3. Sélectionnez l'application parmi celles proposées.
104
Figure 119 Configuration de portail captif avec réseaux sociaux
Note
Dans le cas où la reconnaissance de l'équipement est activée pour une connexion, une page
d'information sera toutefois affichée à l'utilisateur avant sa connexion effective.
• Définir une chartre régissant l'utilisation des services : Dans le cas où une charte doit être acceptée
par l’utilisateur, il est possible d’ajouter sur le portail une case à cocher qui devra impérativement être
cochée pour que l’utilisateur puisse s’authentifier (voir section « Configuration des chartes »).
• Rediriger l'utilisateur une fois connecté :
En mode standard, une fois l’utilisateur authentifié, un lien apparaît sur le portail captif «
Cliquez ici pour atteindre la page initialement demandée ». Cette option permet de forcer la
redirection vers une autre page spécifiée dans le champ « URL de redirection ».
Si vous cochez la case « Rediriger après un délai », vous pouvez alors préciser un délai de redirection
entre 0 et 60 sec.
105
• Mettre en quarantaine l’équipement d’un utilisateur ayant entré plusieurs fois un mot de passe
erroné :
Il s'agit de suspendre l'équipement d'un utilisateur ayant entré plusieurs fois un mot de passe
erroné en l'empêchant de se connecter pendant une durée limitée. Pour cela, renseignez le
nombre maximum d'essais erronés avant la mise en quarantaine.
5.4.1.2.2.6. Enregistrement
Cliquez sur le bouton « Ajouter un nouveau mode » pour sélectionner un ou plusieurs modes d'enregistrement
:
Cliquez sur les items d'enregistrement souhaités pour ce portail puis fermez la fenêtre.
Options :
106
centres d'intérêts. Ces champs se présenteront sur le portail captif sous la forme d'un calendrier,
d'un bouton radio et de deux listes sélectionnables préremplies.
Ces informations seront stockées à la fois dans les journaux de sessions et dans l'annuaire des utilisateurs.
Inscription simple en un clic sur un profil unique pour tous les utilisateurs.
Pour effectuer la configuration, sélectionnez le mode « One Click Button », puis :
1. Choisissez, parmi les profils disponibles, le profil que l’utilisateur obtiendra dans ce mode.
2. Cochez la case Associer un compte utilisateur unique par équipement afin d'éviter de créer un nouveau
compte aléatoire à chaque nouvelle visite d’un même utilisateur.
Mode « Libre » :
L’utilisateur s’auto-enregistre sur le portail et reçoit ses identifiants directement sur le portail.
1. Choisissez, parmi les profils disponibles, le profil que l’utilisateur obtiendra dans ce mode.
2. Cochez la case Associer un compte utilisateur unique par équipement afin d'éviter de créer un nouveau
compte aléatoire par utilisateur.
Astuce
La différence avec le portail « One Click Button » réside en ce que l'enregistrement libre requiert la saisie des
identifiants de connexion de l'utilisateur.
Mode « SMS » :
L’utilisateur s’auto-enregistre sur le portail UCOPIA, et reçoit ses identifiants par SMS.
Il faut, avant de pouvoir configurer ce type de portail, créer un compte qui sera associé à une
plateforme de SMS proposée par le contrôleur UCOPIA. Pour cela, il faut se rendre dans le menu «
Services externes », item « SMS » (voir section « Configuration du service de SMS » pour davantage
de détails).
1. Choisissez, parmi les profils disponibles, le profil que l’utilisateur obtiendra dans ce mode.
2. Sélectionnez le compte associé à une plate-forme d’envoi de SMS parmi ceux proposés.
107
Figure 125 Exemple de configuration du portail captif avec enregistrement par SMS
Mode « Email » :
L’utilisateur s’auto-enregistre sur le portail UCOPIA, et reçoit ses identifiants par email.
Il faut, avant de pouvoir configurer ce type de portail, créer un compte qui sera associé à un serveur
de messagerie proposé par le contrôleur UCOPIA. Pour cela, il faut se rendre dans le menu « Services
externes », item « mail » (voir section « Configuration du service de messagerie (email) » pour
davantage de détails).
1. Choisissez, parmi les profils disponibles, le profil que l’utilisateur obtiendra dans ce mode.
2. Sélectionnez le compte associé à un serveur de messagerie parmi ceux proposés.
3. Configurez l'ouverture temporaire de l'accès réseau.
En effet, l’utilisateur devant consulter sa messagerie pour prendre connaissance de son mot de
passe, le réseau doit être ouvert pendant le temps nécessaire et suffisant à la consultation de la
messagerie.
L'utilisateur sera connecté avec ce profil. La durée de connexion est configurable à travers l'option
avancée de profil « Forcer la déconnexion d'un utilisateur ».
4. Optionnellement, imposez que les adresses de messagerie appartiennent à certains domaines. Pour cela, à
côté de « Restreindre aux adresses se terminant », cliquez sur le bouton « Ajouter » et renseignez le nom
de domaine.
Figure 126 Exemple de configuration du portail captif avec enregistrement par email
L’utilisateur s’auto-enregistre sur le portail et imprime un ticket avec ses identifiants de connexion.
1. Choisissez, parmi les profils disponibles, le profil que l’utilisateur obtiendra dans ce mode.
2. Choisissez l'imprimante à utiliser pour l'impression de ces tickets, ainsi que le format d'impression.
108
Figure 127 Exemple de configuration du portail captif avec impression de ticket
Note
Pour ce portail, vous devez choisir au moins une option d'auto génération (identifiant ou mot de passe).
Voir la section « Options d'enregistrement »
Mode « PayPal » :
Il faut, avant de pouvoir configurer ce type de portail, créer un compte PayPal et configurer UCOPIA
avec les informations relatives à ce compte. Pour cela, il faut se rendre dans le menu « Services
externes », item « PayPal » (voir section « Configuration du service PayPal » pour davantage de
détails).
Le portail PayPal fonctionne avec la notion de forfait. Le forfait est défini par l’administrateur UCOPIA.
Cela peut être un forfait 1h, 3h, ou forfait « emails », ou forfait « Tous les jours ouvrés de 16h à 18h »,
etc. Les forfaits sont proposés au choix de l’utilisateur sur le portail captif avant paiement (voir la section
« Administration des forfaits »).
Figure 128 Exemple de configuration du portail captif avec paiement en ligne PayPal
Note
Le profil temporaire permet par exemple de gérer les mécanismes de « 3D Secure » en donnant accès avant
paiement à Internet et donc aux sites en charge de ces mécanismes.
Mode « Ingenico » :
109
L’utilisateur peut acheter un forfait en réalisant un paiement en ligne via Ingenico.
Il faut, avant de pouvoir configurer ce type de portail, créer un compte Ingenico et configurer UCOPIA
avec les informations relatives à ce compte. Pour cela, il faut se rendre dans le menu « Services
externes », item « Ingenico » (voir section « Configuration du service Ingenico » pour davantage de
détails).
Le portail Ingenico fonctionne avec la notion de forfait. Le forfait est défini par l’administrateur
UCOPIA. Cela peut être un forfait 1h, 3h, ou forfait « emails », ou forfait « Tous les jours ouvrés de 16h
à 18h », etc. Les forfaits sont proposés au choix de l’utilisateur sur le portail captif avant paiement (voir
section « Administration des forfaits »).
Figure 130 Exemple de configuration du portail captif avec paiement en ligne Ingenico
Note
Le profil temporaire permet par exemple de gérer les mécanismes de « 3D Secure » en donnant accès avant
paiement à Internet et donc aux sites en charge de ces mécanismes.
110
5.4.1.2.2.6.1. Parrainage
Il est possible de mettre en place un système de parrainage pour les modes d'enregistrement « Libre
», « SMS »et « Mail ». Avant de communiquer les identifiants à l'utilisateur, un mail sera envoyé au
parrain pour validation.
Pour cela, il vous suffit de cocher la case « Activer le parrainage » et de sélectionner une
configuration de parrainage. Les différentes options possibles pour le parrainage sont décrites à la
section « Configuration de parrainage ».
• Champs de saisie
Ce tableau permet de définir les champs que peut (« Permettre la saisie ») ou doit (« Saisie obligatoire
») saisir l'utilisateur lors de son auto-enregistrement libre, par SMS, email.
– Si seule la case « Permettre la saisie » est cochée, l'utilisateur pourra choisir ses identifiants et
mots de passe.
Attention
Ces deux champs ne sont pas compatibles avec les modes SMS et email. En effet, le numéro de téléphone ou
l'email sera systématiquement demandé pour être utilisé comme identifiant.
111
Le champ « Téléphone » n'est pas compatible avec le mode SMS.
Le lien permettant de changer de mot de passe n’apparaîtra qu’une fois la première authentification de l’utilisateur
réussie.
Cette option permettra à l’utilisateur de sélectionner des forfaits afin de recharger son compte,
par exemple si son crédit temps est épuisé, si sa validité a expiré. Voir la section « Forfaits » et «
Vouchers » pour plus de détails sur la gestion des forfaits.
Par défaut, seul le rechargement de compte à l’aide d’un voucher, qui fournira le code à saisir sur le
portail, est autorisé. Il est possible d’étendre les possibilités en autorisant les utilisateurs à choisir et
payer un forfait pour recharger leur compte directement sur le portail. Pour cela, sélectionner les forfaits
dans la liste « Forfaits disponibles ». Il faut alors également sélectionner au moins un moyen de
paiement. Si seuls des forfaits gratuits sont sélectionner, il n’est pas nécessaire de sélectionner un
moyen de paiement.
Il est possible de choisir, d’une part, la langue par défaut du portail et, d’autre part, les langues qui seront
laissées au choix de l’utilisateur sur le portail.
Dans l’exemple ci-dessous, le français est utilisé par défaut, et le choix est laissé à l’utilisateur d’afficher le
portail dans toutes les langues disponibles.
112
Figure 134 Exemple de configuration des langues du portail captif
Pour ajouter une nouvelle configuration, cliquez sur l’onglet « Configurations » du tableau des
portails, puis cliquez sur le lien « Ajouter une configuration ». Utilisez le lien se trouvant sur la ligne «
Portail de délégation ».
113
Après une première authentification, un lien apparaîtra sur le portail donnant la possibilité à
l’administrateur délégué de modifier le mot de passe initial.
Il est possible de choisir, d’une part, la langue par défaut du portail et, d’autre part, les langues qui
seront laissées au choix de l’administrateur délégué sur le portail.
Pour ajouter une nouvelle configuration, cliquez sur l’onglet « Configurations » du tableau des
portails, puis cliquez sur le lien « Ajouter une configuration ». Utilisez le lien se trouvant sur la ligne «
Connexion automatique ».
114
Ce type de configuration connectera de façon automatique et transparente tout équipement présent
sur le réseau et ayant une activité IP vue par le contrôleur. Les équipements seront connectés dans la
limite de la licence. La connexion sera faite en utilisant un compte générique qui sera créé
automatiquement ou choisi parmi les comptes disponibles. Vous pourrez ensuite administrer ce compte
ainsi que son profil associé.
Avertissement
Les éléments réseaux utilisant une adresse IP ZeroConf ne seront pas connectés automatiquement.
Connexion automatique par adresse MAC et protocole RADIUS. Il est possible de coupler la
connexion automatique à une autorisation RADIUS en sélectionnant l’option « Activer l'autorisation
RADIUS par adresse MAC ». Cela permet de s’appuyer sur la configuration des realms RADIUS pour
soumettre l’autorisation MAC à des serveurs RADIUS externes.
Cochez la case « Choisissez un realm RADIUS » pour sélectionner un realm RADIUS dans la liste ou
en renseignant un nom personnalisé.
Le realm personnalisé donne la possibilité de définir une chaîne de caractères qui sera ajoutée à
l'adresse MAC en tant que realm dans les requêtes RADIUS. Le realm personnalisé est proposé afin
de pouvoir réaliser une configuration dans laquelle il est possible d’utiliser différents serveurs RADIUS
associés à des portails sur différentes zones.
115
Note
Cette configuration doit être utilisée si vous souhaitez réaliser une connexion par adresse MAC en architecture
Out-of-Band Edge. Le realm choisi doit alors être configuré pour envoyer les requêtes RADIUS vers le
contrôleur central dans le cloud.
5.4.1.5. Modèles visuels
5.4.1.5.1. Ajout d’un modèle visuel
Avant de pouvoir effectuer une personnalisation, il faut ajouter (ou modifier) un modèle visuel. Pour
ajouter un modèle visuel cliquez sur l’onglet « Modèles visuels » du tableau des portails et cliquez sur
le lien « Ajouter un modèle visuel ».
Définissez le nom du nouveau modèle visuel puis la source de modèle (usine, personnel, externe). Suivant
la nature du modèle, les modèles disponibles seront proposés.
Par exemple, pour créer un nouveau modèle personnel basé sur le modèle par défaut, la configuration
sera la suivante :
modèles.
Pour des besoins de personnalisation avancée, il est possible de modifier le source HTML du modèle visuel.
116
Pour cela, cliquez sur l’onglet « Modèles visuels » du tableau des portails et cliquez sur l’icône d’exportation
se trouvant sur la ligne du modèle visuel à modifier.
Le code du modèle visuel du portail se présente sous la forme d’une archive à télécharger. Une fois
le code modifié et personnalisé, il sera possible de le réimporter dans le contrôleur à utilisant l’icône de
modification du modèle visuel.
Lors de la modification du modèle visuel, il faudra sélectionner « externe » comme source de modèles
et importer le fichier décrivant le modèle modifié en utilisant le bouton « Parcourir ». Précisez si le
modèle visuel est responsive ou non. Ce sera le cas pour tout modèle personnalisé à partir du modèle
d’usine « standard ».
Note
Consultez la documentation « Personnalisation avancée du portail captif UCOPIA » pour réaliser une
personnalisation avancée d’un portail UCOPIA.
Cliquez sur l’item « Chartes » du sous-menu proposé en partie gauche de la fenêtre. La page suivante s’affiche
:
117
Figure 144 Configuration des chartes
Pour ajouter une charte, cliquez sur le bouton « Ajouter » du tableau des chartes. La page suivante s’affiche.
118
Figure 145 Ajout d'une charte
119
Il faut nommer la charte dans le champ « Nom de la charte », puis choisir le type de la charte et les langues
dans lesquelles la charte sera affichée.
Il faut renseigner le texte qui apparaîtra sur le portail, ainsi que son contenu qui sera accessible dans
une fenêtre expansible sous le texte à afficher.
Ce type est identique au précédent mais permet d’ajouter un fichier supplémentaire qui sera accessible
sur le portail en cliquant sur le texte affiché de la charte.
• URL : la charte est accessible à partir d’une URL Ce type est identique au type Texte mais permet d’ajouter
un lien vers une URL qui sera accessible sur le portail en cliquant sur le texte affiché de la charte. L’URL
permettant d’accéder à la charte devra être définie sous forme d’URL en accès libre.
120
Figure 148 Charte de type URL
Les informations relatives à la charte devront être renseignées pour chacune des langues souhaitées.
Si ce n’est pas le cas, la langue définie dans le champ « Langue par défaut » sera utilisée.
Une nouvelle langue peut être ajoutée en cliquant sur le bouton « Ajouter » du champ « Ajouter une
langue ». Une langue peut être supprimée en cliquant sur l’icône « poubelle » correspondant à la langue
à supprimer.
Lors de la création d’un compte utilisateur soit à travers l’outil d’administration, soit à travers le portail
de délégation, il est possible de définir des champs additionnels permettant de décrire l’utilisateur (nom
de société, numéro de carte d’identité, etc.)
Les champs additionnels s’ajouteront aux trois champs obligatoires, à savoir l’identifiant, le nom et le
prénom de l’utilisateur. Pour chaque champ ajouté, il faudra indiquer si ce champ est obligatoire ou non,
ainsi que son intitulé dans chacune des langues disponibles.
Pour ajouter des champs additionnels, cliquez sur l’item « Champs additionnels » du sous-menu proposé en
partie gauche de la fenêtre. La page suivante s’affiche :
121
Figure 149 Personnalisation des champs additionnels
122
Figure 150 Ajout de champs additionnels
La langue peut être choisie par défaut. Il n’est donc pas nécessaire de renseigner le libellé du champ
dans toutes les langues. Les champs non renseignés prendront la valeur du champ correspondant
à la langue par défaut.
Important
Dans le cadre de cet exemple, la page de l’outil d’administration déléguée permettant de renseigner les
informations nominatives de l’utilisateur s’affichera comme suit :
123
Figure 151 Portail de délégation avec champs additionnels
Vous pouvez personnaliser les tickets de connexion et les tickets de rechargement générés par l’outil
d’administration déléguée UCOPIA. Vous pouvez en particulier personnaliser les tickets en fonction de
la zone depuis laquelle ils sont émis ou en fonction du profil de l'utilisateur, remplacer le logo UCOPIA
par celui de l’organisation, ajouter du texte en dessous de ce logo, choisir les langues et, dans le cas
d’un ticket au format badge, choisir les informations affichées.
Cliquez sur l’item « Tickets » du sous-menu proposé en partie gauche de la fenêtre. Deux tableaux de
tickets s’affichent.
124
Figure 152 Tableaux de tickets
Cliquez sur pour modifier le ticket par défaut, ou sur pour définir un nouveau ticket de connexion ou de
rechargement.
125
Figure 153 Personnalisation des tickets de connexion
126
Figure 154 Personnalisation des tickets de rechargement
Cochez la case « Ticket par défaut » si aucune zone ou profil n'est à définir.
Personnalisation par zone et par profil : Le délégué peut bénéficier de deux niveaux de
personnalisation des tickets. La première personnalisation est globale et s'applique à la zone sur laquelle
il se trouve. Le délégué peut ensuite générer un ticket personnalisé en fonction du profil du visiteur. Par
127
exemple, un ticket personnalisé pour les profils de type VIP sur lequel sera indiqué un SSID particulier pour
la connexion.
• Le bloc « Configuration du logo » permet de modifier le logo qui apparaît en entête des tickets de
connexion (format A4 et badge).
Le logo actuellement utilisé est affiché dans le bloc. Pour le remplacer, cliquez sur « Choisissez un
fichier... » pour sélectionner le nouveau logo.
Avertissement
Seuls les formats JPEG et PNG sont acceptés pour les logos. La taille du logo ne doit pas être supérieure à 2
Mo.
• Le bloc « Paramètres du format A4 » permet d’ajouter du texte sur le ticket et d’en choisir la langue.
Entrez votre texte dans le champ prévu à cet effet. Ce texte apparaîtra en dessous du logo. Il
faut au préalable sélectionner la langue dans laquelle le texte est rédigé. Si vous souhaitez
rédiger un texte en plusieurs langues, il faut pour chaque langue sélectionner la langue, et entrer
le texte dans le champ de texte.
Si l’on ne souhaite pas renseigner un texte pour chacune des langues, sélectionner la langue par
défaut qui sera utilisée pour l’affichage du texte qui n’est pas traduit.
• Le bloc « Paramètre du format badge » permet de choisir les informations qui seront affichées sur
le ticket en format badge. En effet, le format badge étant par définition réduit, il n’est pas possible
d’afficher l’ensemble des informations du ticket. Les nom, prénom, login, mot de passe et profil de
l’utilisateur pourront être affichés. Si l’administrateur a défini des champs additionnels, ils seront
également proposés à l’affichage.
128
Figure 155 Exemple de configuration d’un ticket de rechargement au format A4
129
Figure 156 Exemple de configuration d’un ticket de connexion au format badge
Pour obtenir un aperçu de l’affichage en format badge, cliquez sur le bouton « Visualiser le badge ».
Pour valider, cliquez sur le bouton « Valider ».
Note
Avertissement
Le texte libre n’apparaît pas dans les tickets de connexion au format badge.
Cliquez sur l’item « URLs en accès libre » du sous-menu proposé en partie gauche de la fenêtre. La
page suivante s’affiche :
130
Figure 157 Configuration des URL en accès libre
Pour ajouter une URL HTTP, cliquez sur le bouton « Ajouter » du premier tableau. La page suivante s’affiche
:
1. En spécifiant l’URL complète (ex. : www.ucopia.com). Dans ce cas, toute l’arborescence est accessible.
2. En spécifiant des motifs (ex. : www.ucopia.*; *.ucopia.*), ce qui permet de filtrer des arborescences
d’un domaine soit en spécifiant le nom du domaine (dans ce cas, on a toute l’arborescence), soit en
spécifiant des motifs permettant de filtrer des arborescences du domaine.
Pour ajouter une URL HTTPS, cliquez sur le bouton « Ajouter » du second tableau. La page suivante s’affiche
:
131
Figure 159 Ajout d'une URL HTTPS en accès libre
Même si l’URL complète peut être renseigné, tout le domaine de cette URL sera accessible. Par
exemple, l’URL « https://www.ucopia.com/fr/equipe-ucopia/ » est renseignée. Tout le domaine
www.ucopia.com sera accessible. Définir une URL complète permet d’utiliser celle-ci plus facilement
dans une configuration portail ou pour une URL de charte.
Des configurations de parrainage peuvent être associés à certains modes d’enregistrement sur le
portail (Email, SMS et Libre). Cela permet de s’assurer que les utilisateurs qui s’inscrivent sur le portail
ne peuvent utiliser leur compte qu’une fois celui-ci validé par une personne autorisée, le parrain. Pour
cela, le parrain recevra un email avec un lien permettant de valider ou de refuser la demande.
Cependant, il est aussi possible d’autoriser les utilisateurs à se connecter avant validation.
132
cette configuration email devront être adaptés au parrainage. Pour cela, des variables dynamiques
pourront être utilisées afin de préciser des informations telles que l'adresse mail du parrain «
%sponsoremail% », le lien de validation « %validationlink% » et le lien de refus pour le parrain
« %rejectionlink% ». Pour plus de détails, consultez la section « Configuration du service de
messagerie (email) ».
• Restreindre aux adresses email se terminant par : possibilité de restreindre les adresses email
à un nom de domaine donné.
• Lien d'activation du compte utilisateur : permet de préciser le domaine du lien d'activation qui
sera utilisé dans l’email reçu par le parrain.
• Autoriser les utilisateurs à se connecter avant validation : permet aux utilisateurs de se
connecter avant validation par le parrain.
• Ne pas afficher les identifiants sur le portail : permet de masquer les identifiants de l'utilisateur
sur le portail. Cette option n’a d’effet que pour le mode Libre, pour lequel les identifiants peuvent
être affichés sur le portail lors de l’enregistrement.
• Informer l'utilisateur à propos de sa validation : permet aux utilisateurs de recevoir un email
ou un SMS concernant la décision du parrain. Un compte email ou SMS doit être préalablement
défini. En cas d’utilisation d’un compte email, il est nécessaire d’en utiliser un différent de celui
utilisé pour l’envoi d’emails aux parrains, car les modèles d’emails devront être différents. La
variable dynamique « %validationstatus% » pourra être utilisée pour indiquer la décision du
parrain à l’utilisateur final. Cette variable est remplacée par « accepté » ou « rejeté » lors de l’envoi
de la notification. Lorsque la notification est déclenchée à la
validation par le parrain, l’utilisateur final ne reçoit pas ses identifiants par email ou SMS lors
de son enregistrement comme c’est le cas lors de l’utilisation de ces modes
d’enregistrements sans parrainage. Pour retrouver ce fonctionnement, il faut alors configurer
le déclenchement de la notification « A l’enregistrement de l’utilisateur ».
Une fois les différents paramètres renseignés, le bouton « Valider » permet d’enregistrer cette
nouvelle configuration. Elle apparaît alors dans la liste des configurations comme ci-dessous. Il est
également possible de modifier ou supprimer des configurations existantes en utilisant les boutons de
la colonne « Actions ».
133
Figure 162 Configuration de la journalisation
Note
Il est fortement recommandé de configurer ce mécanisme pour assurer une sauvegarde des journaux sur une
plate-forme autre que le contrôleur UCOPIA.
Un serveur FTP doit être configuré pour l’exportation des journaux et/ou des sessions au format CSV,
l’heure journalière d’envoi des sauvegardes est configurable. Lors de la sauvegarde, les fichiers peuvent
être supprimés du contrôleur UCOPIA afin de libérer de la place.
134
Figure 163 Exemple de configuration d’exportation des sauvegardes de journaux
UCOPIA propose également un mécanisme de répartition de charge qui peut permettre à plusieurs contrôleurs
UCOPIA de se répartir les connexions des utilisateurs.
Le basculement d’un contrôleur UCOPIA à l’autre s’effectue grâce à une adresse IP virtuelle. En effet,
à un instant donné, seul un contrôleur dispose de l’adresse virtuelle. En cas de panne d’un contrôleur
actif, le contrôleur de redondance prend connaissance de la panne grâce au protocole VRRP (Virtual
Router Redundancy Protocol), et récupère l’adresse IP virtuelle. Il devient ainsi le nouveau contrôleur
actif, tout en assurant une totale transparence pour les utilisateurs. Ce mécanisme s’applique également
entre contrôleurs actifs en cas de défaillance de l’un deux.
5.6.1. Redondance
Le modèle de redondance UCOPIA est un modèle Actif/Passif mettant en œuvre au moins deux
contrôleurs UCOPIA, un seul étant actif à un instant donné. Les contrôleurs UCOPIA intervenant dans
une architecture de redondance dialoguent entre eux et peuvent par conséquent s’apercevoir de la
défaillance de leur confrère.
135
• Si tous les contrôleurs sont actifs : lors d’une panne, les utilisateurs connectés sur le contrôleur
défaillant seront pris en charge par les autres contrôleurs actifs. Il s’agit alors d’une redondance «
dégradée ». En effet, si deux contrôleurs, par exemple Advance 100, sont configurés en répartition de
charge, 200 connexions simultanées se répartissent sur les deux contrôleurs. Si l’un des deux
contrôleurs tombe en panne, seules 100 connexions simultanées seront possibles sur le contrôleur
restant opérationnel.
• Il est possible d’avoir un contrôleur de redondance passif qui assure la redondance des contrôleurs
actifs.
Pour configurer la redondance et la répartition de charge, cliquez sur l’item « Haute disponibilité »
dans le menu à gauche de la fenêtre, puis sur l’item « Redondance et répartition de charge » du sous-
menu.
L’étape suivante consiste à préciser l’interface de communications entre les contrôleurs. Cette
interface peut s’établir sur un des VLAN d’entrée ou de sortie. L’utilisation d’un VLAN de sortie est
préconisée, afin d’éviter tout risque de mélange entre trafic de communications inter-contrôleurs et trafic
d’utilisateurs sur l’infrastructure Wi-Fi. Les communications inter-contrôleurs incluent les messages du
protocole VRRP.
Entrez le nombre de contrôleurs UCOPIA devant être configurés en redondance et/ou répartition de
charge. Renseignez ensuite les adresses IP des contrôleurs. Cliquez sur « Valider ». La page
suivante s’affiche :
136
Figure 165 Configuration du mécanisme de répartition de charge : étape 2
L’étape suivante consiste à renseigner le VRID initial. Un VRID (Virtual Router Identifier) permet de
définir l’adresse MAC virtuelle associée à une interface réseau physique. Les adresses MAC virtuelles
sont alors de la forme 00-00-5E-00-01-<i>XX</i> où <i>XX</i> est le VRID. Chaque contrôleur
actif nécessite 2 adresses MAC virtuelles (une pour l’interface d’entrée, une pour l’interface de sortie)
donc 2 VRID. Pour N contrôleurs, il faut alors 2xN VRID. Le champ VRID initial permet de spécifier le
début de cette plage de VRID.
La préemption permet à un nœud actif de récupérer son rôle de maître après une panne. Sinon, le
nœud de redondance (devenu actif après que le maître soit tombé en panne) conserve son rôle. Cette
option est uniquement configurable en mode redondance.
Avertissement
Le nombre de contrôleurs actifs doit être cohérent avec les licences des contrôleurs impliqués. En effet, pour
qu’un contrôleur soit actif, il faudra qu’il dispose d’une licence « Répartition de charge ».
Renseignez les adresses IP virtuelles pour chacun des VLAN d’entrée et de sortie. Plusieurs
contrôleurs pouvant être actifs, il faudra renseigner les IP virtuelles pour autant de nœuds que de
contrôleurs actifs. Les adresses IP virtuelles doivent être uniques.
137
Note
Un nœud représente un ensemble d’IP virtuelles s’appliquant à un contrôleur actif à un moment donné.
Dans l’exemple ci-dessus, nous avons 2 contrôleurs actifs, 5 VLANs d’entrée et 1 VLAN de sortie. Deux
contrôleurs étant potentiellement actifs, il faudra renseigner les IP virtuelles pour deux nœuds.
L’état des contrôleurs (Actif ou Passif) s’affiche dans la colonne « État » du tableau des contrôleurs. Il
est également mentionné, pour chaque contrôleur actif, les nœuds pris en charge.
Exemple :
138
5.7. Configuration en architecture Out-of-Band
Dans les versions antérieures à la version 5.0, le contrôleur UCOPIA était essentiellement positionné
en coupure du trafic utilisateur, c'est-à-dire entre le réseau d'accueil (ex : infrastructure Wi-Fi) et le LAN de
l'organisation.
Dans une architecture centralisée qui gère plusieurs sites (UCOPIA en central), les flux utilisateur
doivent par conséquent remonter vers le site central sur lequel se trouve l'échappement Internet. Ceci
peut être contraignant.
Une nouvelle architecture Out-of-Band est proposée permettant de ne centraliser que certains
services UCOPIA, en l'occurrence le portail captif, l'authentification et la base de données utilisateurs.
Sur chaque site en local, peut se trouver un contrôleur UCOPIA qui gère le trafic utilisateur ou
uniquement un équipement Wi-Fi (Cisco, Aruba, Ruckus, Meraki, Aerohive, Meraki, Alcatel). L'accès
Internet pour le trafic des utilisateurs est local à chaque site.
Dans ce type d'architecture, l'équipement sur site effectue une redirection de portail vers le contrôleur
UCOPIA central. L'authentification est basée sur le protocole RADIUS. Le client RADIUS se trouvant
sur l'équipement en local et le serveur RADIUS sur le contrôleur UCOPIA centralisé.
Pour mettre en œuvre cette architecture, les configurations suivantes doivent être effectuées.
1. Dans le cas d'une architecture avec contrôleur UCOPIA sur site, il est recommandé de créer sur le
contrôleur central un administrateur avec des privilèges limités (voir section « Administration des
comptes administrateurs »). Cet administrateur sera utilisé par les contrôleurs sur site pour
s'identifier auprès du central et synchroniser les informations nécessaires.
2. Les contrôleurs UCOPIA sont, par défaut, configurés avec un FQDN « controller.access.network ».
Le FQDN du contrôleur central doit être modifié afin de différencier le contrôleur sur site local du
central. Il faudra également acquérir et configurer un nouveau certificat pour être en phase avec le
nouveau FQDN (voir section « Configuration des certificats »). Il est également possible d’utiliser
le nom de domaine « central.access.network », le certificat par défaut du contrôleur étant valide
pour ces 2 domaines. Cela nécessite alors simplement de pouvoir faire pointer ce nom de domaine
vers l’adresse IP qui permet de joindre le contrôleur central.
3. Le NAS RADIUS doit être configuré en mode Redirection de portail (voir section « Configuration
RADIUS »).
Note
Le contrôleur central doit avoir une URL qui puisse être résolue par le poste de l'utilisateur final se trouvant
sur le site distant. Une entrée DNS (FQDN) doit donc être créée sur un serveur DNS (privé ou public) afin que
l'utilisateur puisse se connecter sur le contrôleur central.
La configuration des équipements Wi-Fi dépend des constructeurs. En règle générale le mode
WPR (Web Portal Redirection) doit être activé pour effectuer la redirection vers le portail du
contrôleur UCOPIA central.
139
Le contrôleur UCOPIA sur site (Edge) se charge de faire la redirection portail.
Dans ce cas, les profils utilisateurs, les services, les zones et les politiques de mot de passe
sont configurés uniquement au niveau du contrôleur central et répliqués sur les contrôleurs Edge
afin de simplifier l'administration.
Dans tous les cas, les opérations suivantes doivent être réalisées :
1. Configuration d'une URL en libre accès qui sera utilisée pour la redirection du portail (voir section «
Configuration d’URL en accès libre »).
2. La configuration du (ou des) portails Web doit réaliser une redirection vers un portail externe (celui
du central) en utilisant l'URL libre précédemment définie. Le portail doit être couplé avec RADIUS
(voir section « Personnalisation des portails UCOPIA »).
3. Configuration du serveur RADIUS local en mode proxy vers le RADIUS du contrôleur central (voir
section « Configuration RADIUS »).
Pour que le contrôleur devienne un contrôleur Edge, il faut qu'il soit configuré en conséquence
(voir section « Configuration du contrôleur central »). Ceci aura pour effet de mettre en œuvre la
réplication du central vers les contrôleurs Edge et ainsi les opérations de création/modification de
profils utilisateurs, de services et de zones seront en lecture seule.
Certains vendeurs Wi-Fi peuvent envoyer en format Syslog les URLs consultées par les
utilisateurs et/ou les paquets correspondant au trafic des utilisateurs. Dans ce cas, le
contrôleur central UCOPIA a la capacité de les récupérer et de les enregistrer dans la base
des journaux utilisateurs. Pour cela, il faut configurer le serveur Syslog sur le contrôleur
central (voir section « Configuration des paramètres de filtrage »).
Cliquez sur l’item « Out of band » proposé en partie gauche de la fenêtre. Le sous-menu s’affiche et propose
les items suivants :
140
Figure 169 Administration des contrôleurs Edge
Note : Cliquer sur le lien Télécharger l'annexe technique 'Out-of-band Edge architecture' pour obtenir le
PDF de la documentation détaillée.
Le champ « Description » peut avec le contrôleur central indiquer des problèmes de communication entre
les contrôleurs Edge ou des problèmes d'incohérence de version avec contrôleur central UCOPIA.
L’icône « poubelle » permet de désassocier un contrôleur Edge d'un contrôleur central UCOPIA.
• Paramétrer comme un contrôleur Edge : case à cocher pour transformer le contrôleur en contrôleur
Edge.
• Contrôleur central : nom de domaine (FQDN) ou adresse IP du contrôleur central.
• Ports HTTPS : Connexion sécurisée sur le port 443
• Login : identifiant de l'administrateur défini sur le contrôleur central.
• Mot de passe : mot de passe de l'administrateur défini sur le contrôleur central.
• Nom de la zone : si le nom de la zone et le nom de domaine du contrôleur central sont définis, l'URL
en accès libre utilisée pour la redirection portail sera automatiquement créée.
141
5.8. Configuration en architecture multi-tenant
Dans une architecture centralisée, le contrôleur central peut servir plusieurs sites ou clients différents,
ce contrôleur pourra alors fonctionner en mode multi-tenant.
Dans ce mode chaque site doit être associé d'un point de vue réseau à une (ou plusieurs) zone(s)
d'entrée. Il sera ainsi possible de personnaliser le contrôleur en fonction de la zone et éventuellement
du profil utilisateur.
Les services de messagerie et de SMS pourront être utilisés soit depuis le portail Web UCOPIA pour
envoi du mot de passe de l’utilisateur (voir section « Enregistrement SMS » et section « Enregistrement
par Mail »), soit depuis l’outil d’administration délégué pour envoi des informations de connexion à
l’utilisateur (identifiants, plages horaires autorisées, etc.).
Les services de facturation donneront lieu à des portails dédiés (voir section « Authentification par un logiciel
de facturation (PMS) »).
Cliquez sur l’item « Services externes » proposé en partie gauche de la fenêtre. Le sous-menu s’affiche et
propose les items suivants :
142
Figure 171 Items du menu Services externes
Avertissement
Pour configurer un compte de SMS, cliquez sur l’item « SMS » du sous-menu. La page suivante s’affiche :
Pour chaque compte SMS créé, le tableau indique l’opérateur choisi, le type d’envoi (HTTP ou
SMTP), le nombre de portails, ainsi que le nombre de profils de type administrateur délégué utilisant ce
compte. Pour ajouter un nouveau compte de SMS, cliquez sur le bouton « Ajouter ». La page suivante
s’affiche :
143
Figure 173 Ajout d’un compte SMS
Il faut en premier lieu choisir la plate-forme de SMS parmi celles proposées. Il faut en conséquence renseigner
les champs suivants :
• Opérateur d’envoi des SMS : il s’agit de sélectionner la plate-forme d’envoi de SMS parmi celles
proposées. Nous rappelons qu’une inscription auprès de la plate-forme choisie est nécessaire afin d’obtenir
les identifiants de connexion.
Il est ensuite possible de personnaliser le contenu du SMS suivant l’usage qui en est fait. Le SMS
sera composé d’un message d’accueil pouvant se décliner en fonction des langues disponibles. Le
message d’accueil sera construit à l’aide d’un template. Un template sera composé de texte et de
variables dynamiques. Les variables seront encadrées par le caractère « % ».
Les variables dynamiques pourront être le login (%login%), le mot de passe (%password%), le nom
(%lastname%), le prénom (%firstname%) et le profil (%profile%) de l’utilisateur. Le login et le mot de
passe sont obligatoires.
144
Figure 174 Exemple de configuration d’un compte SMS
Le bouton « Ré-initialiser les templates » permet de remettre tous les templates dans leur format par
défaut.
Utilisez le Bouton « Tester les paramètres » pour vous assurer que les informations renseignées sont
correctes.
Note
La langue peut être choisie par défaut. Il n’est donc pas nécessaire de renseigner le message d’accueil dans
toutes les langues. Les champs non renseignés prendront la valeur du champ correspondant à la langue par
défaut.
145
Le tableau indique, pour chaque compte créé, le serveur de messagerie, le nombre de portails ainsi que
le nombre de profils de type administrateur délégué utilisant ce compte.
Pour ajouter un nouveau compte de messagerie, cliquez sur le bouton « Ajouter ». La page suivante s’affiche
:
146
Figure 176 Ajout d’un compte de messagerie
• Port : numéro de port sur lequel la communication avec le serveur de messagerie s’établit.
• Utiliser une connexion sécurisée : cochez la case si vous souhaitez une connexion sécurisée sur les
ports 587 (TLS) ou 465 (SSL).
• Modèles du mail en français : choix de la langue pour les informations entre %. Ces mots-clés seront
remplacés dynamiquement lors de l'envoi.
• Sujet : obligatoire.
• Contenu : Il est possible de personnaliser le contenu du mail suivant l’usage qui en est fait. Le mail sera
composé d’un message d’accueil pouvant se décliner en fonction des langues disponibles. Le message
d’accueil sera construit à l’aide d’un template. Un template sera composé de texte et de variables
147
dynamiques. Les variables seront encadrées par le caractère « % ». Le login et le mot de passe sont
obligatoires. Vous pouvez ainsi spécifier :
Exemple :
148
Figure 177 Exemple de configuration d’un compte email
Le bouton « Ré-initialiser les templates » permet de remettre tous les templates dans leur format par
défaut.
Utilisez le Bouton « Tester les paramètres » pour vous assurer que les informations renseignées sont
correctes.
Pour configurer un compte FTP, cliquez sur l’item « Services externes » proposé en partie gauche de
la fenêtre, puis sur l’item « FTP » du sous-menu. La page suivante s’affiche :
149
Figure 178 Configuration des comptes FTP
Pour ajouter un compte, cliquez sur le bouton « Créer un compte ». La page suivante s’affiche :
• Activer le mode sécurisé (FTP avec chiffrement SSL explicite) : cochez la case si vous souhaitez une
connexion sécurisée sur les ports 587 (TLS) ou 465 (SSL). Ce mode se trouve parfois nommé FTPS, et ne
doit pas être confondu avec SFTP qui repose no pas sur FTP mais sur le protocole SSH.
150
• Mode : passif ou actif
• Activer l'authentification anonyme : deux modes d’authentification au serveur FTP sont proposés : le
mode anonyme qui ne nécessite pas d’identifiants et le mode qui nécessite un login et un mot de passe. Si
vous décochez la case « Activez l’authentification anonyme », renseignez alors le login et mot de passe.
Le couplage PayPal/UCOPIA fonctionne avec une notion de forfait. Le forfait est défini par
l’administrateur UCOPIA. Cela peut être un forfait 1h, 3h, ou forfait « emails », ou forfait « Tous les jours
ouvrés de 16h à 18h », etc. Les forfaits sont proposés au choix de l’utilisateur sur le portail UCOPIA.
Avertissement
Cette configuration suppose que l’administrateur de la solution UCOPIA (ou son représentant) ait créé au
préalable un compte PayPal. Ce compte doit avoir le statut « Premier » ou « Business » et « vérifié ».
Pour configurer un compte PayPal, cliquez sur l'item « Services externes » proposé en partie gauche
de la fenêtre, puis sur l'item « PayPal » du sous-menu. La page suivante s'affiche :
Pour ajouter un compte, cliquez sur le bouton « Créer un compte ». La page suivante s'affiche :
151
Figure 181 Ajout d'un compte PayPal
Cliquez sur le premier bouton « Tester les paramètres » pour vérifier que les informations entrées sont
correctes.
• Renseignez les informations permettant d’utiliser l’API PayPal (identifiant, mot de passe et signature). Cette
API est destinée à récupérer les informations de paiement.
• Cochez la case « Compte de test » pour activer le mode de test sur ce compte. Cela permet de vérifier les
échanges API sans réaliser de véritables transactions. Veillez à désactiver ce mode une fois les tests
terminés.
• Cliquez sur le deuxième bouton « Tester les paramètres » pour tester la connexion à PayPal.
152
Figure 182 Exemple de configuration du système PayPal
Le couplage Ingenico/UCOPIA fonctionne avec une notion de forfait identique à la configuration PayPal.
Avertissement
Cette configuration suppose que l’administrateur de la solution UCOPIA (ou son représentant) ait créé au
préalable un compte Ingenico.
Pour mettre en œuvre l’interface Ingenico, cliquez sur l’item « Ingenico » du sous-menu. La page suivante
s’affiche :
153
• Mot de passe pour l'API USERID : mot de passe associé.
• Clé de sécurité SHA-IN : dans le cadre des échanges de paiement, Ingenico veut certifier que la
transaction émise pour le contrôleur UCOPIA n'a pas été altérée. Pour se faire, il faut définir un secret
partagé (Clé de sécurité) qui sera utilisée par les 2 intervenants pour signer leurs échanges.
• Algorithme de hachage : l'utilisation de la clé de sécurité se fait avec un algorithme de hachage définie
dans la liste (SHA1, SHA256, SHA512) permettant d'avoir des niveaux de sécurité de plus en plus
élevés.
• Compte de test : cochez cette case pour définir le mode de test sur ce compte. Cela permet de vérifier
les échanges API sans réaliser de véritables transactions. Veillez à désactiver ce mode une fois les tests
terminés.
Cliquez sur le bouton « Tester les paramètres » pour vérifier que les informations entrées sont correctes.
Le contrôleur UCOPIA s’interface avec des produits de type PMS (Property Management System).
Les PMS sont des produits de gestion clients, et se rencontrent plus particulièrement dans les
environnements hôteliers ou hospitaliers. Ils permettent l’enregistrement des clients, la facturation, etc.
Il existe un mode de portail UCOPIA dédié à ce fonctionnement (voir section « Authentification par un
logiciel de facturation (PMS) »).
Avertissement
L’interface avec ces produits s’appuie sur le protocole FIAS. En conséquence, seuls les PMS compatibles FIAS
pourront dialoguer avec UCOPIA.
Le couplage PMS/UCOPIA fonctionne avec une notion de forfait. Le forfait est défini par
l’administrateur UCOPIA. Cela peut être un forfait 1h, 3h, ou forfait « emails », ou forfait « Tous les jours
ouvrés de 16h à 18h », etc. Les forfaits sont proposés au choix de l’utilisateur sur le portail UCOPIA.
Le dialogue PMS/UCOPIA se déroule comme suit :
1. Tout d’abord, une synchronisation entre les deux produits afin de créer les comptes dans UCOPIA pour les
clients déjà présents (dans l’hôtel par exemple).
2. PMS -> UCOPIA : envoi de l’ordre de création de compte utilisateur quand un nouveau client arrive. Le compte
est créé dans UCOPIA avec des identifiants générés automatiquement à partir d’information telles que le nom
et le prénom de l’utilisateur, son numéro de chambre, etc. (configurable).
154
3. L’utilisateur pourra modifier son mot de passe depuis le portail UCOPIA après sa première authentification.
4. Portail UCOPIA : authentification de l’utilisateur et choix du forfait.
5. UCOPIA -> PMS : envoi du type de forfait choisi par l’utilisateur.
6. PMS ->UCOPIA : envoi de l’ordre de fermeture du compte utilisateur quand le client s’en va.
Pour mettre en œuvre l’interface PMS, cliquez sur l’item « PMS » du sous-menu. La page suivante s’affiche :
Avant de pouvoir activer la connexion avec un PMS, vous devez au préalable créer au moins un forfait. La
configuration d’un forfait est décrite dans la section « Configuration des forfaits ».
Une fois un ou plusieurs forfaits créés, cochez la case « Activer le système PMS ». Le formulaire suivant
s’affiche :
155
Figure 186 Configuration des paramètres de connexion au PMS
156
• Port du serveur : le port sur lequel l’échange avec le PMS sera réalisé.
• Identifiant de l’émetteur : un identifiant à définir en accord avec le PMS.
• L’indicateur « Statut » indique si la connexion avec le PMS est active ou non.
• Validité des comptes
À la réception d’un message de type ‘check-out’, deux actions sont possibles. Le compte
utilisateur n’est plus valide immédiatement (défaut) ou le compte n’est plus valide à partir de 12h
et N jours, le nombre de jours étant configurable.
Les templates sont construits à partir de clés. Les clés disponibles sont les suivantes :
Le mot de passe peut être chiffré ou pas. Un mot de passe chiffré correspond aux 8 premiers
caractères de l’empreinte SHA1 du mot de passe (prénom ou nom). Pas de chiffrement par
défaut.
• Communication
Il est possible de préciser le type d’encodage utilisé par le serveur PMS : ISO-8859-1 (défaut), UTF-
8 ou CP850.
L’information de facturation (POST CHARGE) sera envoyée toutes les N secondes au PMS. Le
temps entre chaque vérification est configurable.
157
• Utilisateurs sans choix de forfaits
Les utilisateurs identifiés par le PMS comme n’ayant pas à choisir de forfaits seront créés en utilisant
le profil sélectionné.
Il est possible d'affecter à des utilisateurs un profil particulier en fonction des champs A0-A9
envoyés par le PMS. La valeur des champs permet de spécifier des packages proposés aux
clients, par exemple PLATINIUM ou BASE :
L'activation de cette fonction permet de stocker à la réception d'un champ [A0-A9] et du champ
VIP Guest [GV] les valeurs de ces champs dans la fiche de l'utilisateur et de les transmettre avec
leur propriété au portail captif.
La désactivation de ce mode automatique permet de rendre disponible le choix des forfaits depuis le
portail captif.
158
Cliquez sur « Valider ».
Avertissement
L’interface PPS fonctionne avec les serveurs StreamWIDE. Pour utiliser tout autre PPS, contactez UCOPIA.
1. L’utilisateur s’authentifie sur le portail UCOPIA en renseignant le numéro de carte et le captcha code
(image affichant un mot de 8 caractères).
2. UCOPIA -> PPS : le numéro de carte permet de faire une demande de crédit temps auprès du serveur
PPS. Le PPS alloue du temps par tranche de N minutes renouvelables. Le compte de l’utilisateur est
automatiquement créé dans UCOPIA. Le login de l’utilisateur sera le numéro GUID fourni par le PPS
associé au numéro de carte. Son mot de passe sera le captcha code. Son profil sera celui par la
configuration du portail. L’utilisateur visualise sur le portail le temps de connexion associé à la carte
et le temps de connexion consommé.
3. UCOPIA -> PPS : lors de la déconnexion de l’utilisateur, UCOPIA envoie au PPS le temps de
connexion consommé par l’utilisateur. Le compte de l’utilisateur est automatiquement supprimé de la
base de comptes UCOPIA.
Pour mettre en œuvre l’interface PPS, cliquez sur l’item « PPS » du sous-menu. La page suivante s’affiche :
Il faut configurer les paramètres permettant d’établir la connexion avec le PPS. Pour cela, cochez la
case « Activer le système PPS ». Le formulaire suivant s’affiche :
159
Figure 189 Configuration des paramètres de connexion au PPS
Exemple : http://@IP/ppsxml/prepaid.xml_rpc.server.php
• Adresse APN : nom du serveur Internet qui fournit le service, ex: gprs.streamwide.com.
• Label du sous-trafic : Sous-trafic du trafic DATA. Prend la valeur DATA.
• IP : l’adresse IP trunk utilisée pour initier la connexion avec le PPS, par défaut 10.10.10.10.
• Mode de facturation : champ non modifiable correspondant au mode de facturation. Il s’agit d’une
facturation au temps (TIME).
160
Figure 190 Principe de fonctionnement du service DPSK
Pour configurer le service Ruckus DPSK, cliquez sur l’item « DPSK » du sous-menu. La page suivante s’affiche
:
Cliquez sur le bouton « Ajouter » pour créer une nouvelle configuration DPSK.
161
Figure 192 Exemple d'une configuration Ruckus DPSK
• Nom de la configuration : il s'agit d'un simple label utilisé dans le tableau des configurations DPSK.
162
Figure 194 Liste des configurations de réseaux sociaux
Cliquez sur le bouton « Ajouter » pour créer une nouvelle configuration de réseaux sociaux :
Pour créer une configuration OpenID Connect, renseigner les champs supplémentaires :
163
Figure 196 Exemple de configuration OpenID Connect
• URL de ressource : Les applications OpenID Connect ont des métadonnées décrivant leur configuration.
Pour simplifier les implémentations et augmenter la flexibilité, OpenID Connect permet l'utilisation d'un
'Document Discovery', un fichier JSON renvoyé par l'URL de ressource du serveur de l'application
contenant des paires clé-valeur qui fournissent les détails de la configuration de l'application OpenID
Connect, notamment les URLs d'autorisation, du jeton d'accès, des informations utilisateur. Exemple :
https://server.example.com/.wellknown/openidconfiguration
• URL d'autorisation : Indique l'URL du serveur d'autorisations utilisée pour valider le jeton d'accès.
Exemple : https://server.example.com/connect/authorize
• URL du jeton d'accès : Indique l'URL du jeton d'accès. Exemple :
https://server.example.com/connect/token
• URL des informations utilisateur : Indique l'URL du serveur d'autorisations utilisée pour extraire les
informations utilisateur. Exemple : https://server.example.com/connect/userinfo
• Scopes : Liste des scopes que cette application prend en charge. L'application DOIT prendre en charge
au minimum le scope [openid]. Les valeurs des scopes doivent être séparées par des espaces. Exemple
: [ openid profil email address phone ]
• Autoriser les réseaux sociaux supplémentaires : Veuillez activer cette option si cette application elle-
même utilise des réseaux sociaux, comme Facebook, Google, LinkedIn ou
Twitter.
Cliquez sur l’item « Interfaces avec le contrôleur » proposé en partie gauche de la fenêtre. Le sousmenu
s’affiche et propose les items suivants :
164
Figure 197 Items du menu Interfaces UCOPIA
Les contrôleurs UCOPIA intègrent un agent SNMP, ce qui leur permet d’être supervisés depuis un outil
de supervision compatible SNMP (appelé Manager SNMP).
Une MIB (Management Information Base) standard MIB-2 est proposée afin de permettre le dialogue entre
l’outil de supervision et l’agent UCOPIA.
Pour mettre en œuvre l’interface SNMP, cliquez sur l’item « SNMP » du sous-menu. La page suivante s’affiche
:
Note
Pour autoriser un accès sur l'interface SNMP, consultez la section « Accès au contrôleur ».
Astuce
La MIB UCOPIA est téléchargeable en cliquant sur le lien « Télécharger la MIB du contrôleur ».
Ce bloc permet de configurer l'accès aux ressources SNMP, selon la version SNMP du client.
165
Figure 199 Configuration de l'agent SNMP
Vous pouvez choisir d'activer l'une ou l'autre des versions (V2 ou V3), et pour chacune d'elle les paramètres
d'accès en lecture ou lecture et écriture.
Pour configurer les paramètres des versions 1 et 2, cochez les cases respectives.
Nom de la communauté (version 2) : une requête SNMP contient un nom appelé communauté, utilisé
comme un mot de passe. Sur de nombreux équipements, la valeur par défaut de communauté est
public ou privée. Pour des raisons de sécurité, il convient de modifier cette valeur. Un nom de
communauté différent peut être envisagé pour les droits en lecture et ceux en écriture.
Les alertes (“traps”) UCOPIA permettent de surveiller l'état du contrôleur, ainsi que l’ensemble des services
actifs (serveur Web, annuaire LDAP, serveur RADIUS, etc.).
1. Vous devez commencer par définir les récepteurs SNMP de ces alertes : cliquez sur « Ajouter un récepteur
» et définissez son protocole, adresse IP et protocole.
2. Choisissez ensuite les évènements survenant sur les caractéristiques du contrôleur lui-même qui
déclencheront une alerte :
166
• Charge système : la charge système dépasse un seuil sur l'une des périodes de références : 1
minute, 5 minutes, 15 minutes.
Les valeurs indiquées représentent les facteurs multiplicateurs qui seront appliqués en
fonction du nombre de CPU présents sur le contrôleur. Ainsi si le contrôleur possède 4 CPUs
les valeurs seront multipliées par 4 pour avoir les valeurs réelles des seuils.
• Espace d'échange (SWAP) : la taille de l'espace d'échange dépasse un certain volume. Cette valeur
devrait rester minime en toutes circonstances sur le contrôleur.
3. Vous pouvez enfin cocher les cases correspondant aux services du contrôleur à surveiller.
Pour exporter les évènements Syslog, cliquez sur l’item « Syslog » du sous-menu en partie gauche de
la fenêtre.
Cochez la case « Activer l’externalisation des journaux Syslog » et renseignez les champs suivants :
167
• Nom de l'hôte envoyé : nom de l'équipement qui sera visible dans le syslog. Il peut s'agir soit du nom du
contrôleur actuellement configuré sur l'interface, soit d'un nom spécifique à saisir.
• Template syslog : permet de spécifier le format de chaque ligne du fichier Syslog à l'aide de nombreux
mots-clés.
Template par défaut %$year% %timegenerated% %hostname%
%syslogtag% %msg%
Template qui peut être utilisé pour les bases %iut% %msg:::UPPERCASE%
de données MySQL %timegenerated:::date-mysql%
168
Jan 3 11:22:23 controller php[8306]: (/admin/index.php) ### AUDIT : START
Jan 3 11:22:23 controller php[8306]: (/admin/index.php) ### AUDIT : admin = admin
from remote_IP = 10.1.255.238 is making a [captive portal configuration] with
following parameters :
Jan 3 11:22:23 controller php[8306]: (/admin/index.php) ### AUDIT : [ajax] = [no] Jan
3 11:22:23 controller php[8306]: (/admin/index.php) ### AUDIT : [action] = [mod_config]
Jan 3 11:22:23 controller php[8306]: (/admin/index.php) ### AUDIT : [config_id] = [1]
Jan 3 11:22:23 controller php[8306]: (/admin/index.php) ### AUDIT : [config_type] =
[portal]
Jan 3 11:22:23 controller php[8306]: (/admin/index.php) ### AUDIT : [config_name] =
[default-portal]
Jan 3 11:22:23 controller php[8306]: (/admin/index.php) ### AUDIT : [portal_type]
= [internal] Jan 3 11:22:23 controller php[8306]: (/admin/index.php) ### AUDIT :
[format0] = [laptop]
Jan 3 11:22:23 controller php[8306]: (/admin/index.php) ### AUDIT : [1] = [de]
Jan 3 11:22:23 controller php[8306]: (/admin/index.php) ### AUDIT : [2] = [en] Jan
3 11:22:23 controller php[8306]: (/admin/index.php) ### AUDIT : [3] = [es] Jan 3
11:22:23 controller php[8306]: (/admin/index.php) ### AUDIT : [modes0] = [standard]
Jan 3 11:22:23 controller php[8306]: (/admin/index.php) ### AUDIT :
[paypal_send_sms] = [no] Jan 3 11:22:23 controller php[8306]: (/admin/index.php) ###
AUDIT : [default_lang] =
[fr]
Jan 3 11:22:23 controller php[8306]: (/admin/index.php) ### AUDIT : [display_lang0] =
[fr]
Jan 3 11:22:23 controller php[8306]: (/admin/index.php) ### AUDIT : [4] = [it]
Jan 3 11:22:23 controller php[8306]: (/admin/index.php) ### AUDIT : [5] = [nl]
Jan 3 11:22:23 controller php[8306]: (/admin/index.php) ### AUDIT : [6] = [pt]
Jan 3 11:22:23 controller php[8306]: (/admin/index.php) ### AUDIT : [7] = [pl]
Jan 3 11:22:23 controller php[8306]: (/admin/index.php) ### AUDIT : [8] = [zh_CN]
Jan 3 11:22:23 controller php[8306]: (/admin/index.php) ### AUDIT : [9] = [ar_LB]
Jan 3 11:22:23 controller php[8306]: (/admin/index.php) ### AUDIT : END
6. Administration
Cliquez sur l’item « Administration » de la barre de menu, pour afficher la page d’administration ci dessous :
169
Figure 203 Menu Administration
Les opérations d’administration sont classées par catégorie et sous-catégorie comme suit :
• Utilisateurs : cette catégorie permet de gérer les profils et comptes utilisateurs du portail captif.
o Profils : cette sous-catégorie permet de définir les droits des utilisateurs du portail tels que
la validité des comptes, les plages horaires d’accès autorisés, les zones d’accès autorisés,
la politique de sortie du trafic, …
o Comptes : cette sous-catégorie permet des gérer les comptes utilisateurs tels que leur mot
de passe, leurs équipements mémorisés, …
• Administrateurs : cette catégorie permet de gérer les profils et comptes ayant accès aux outils
d’administrations du contrôleur.
o Comptes : cette sous-catégorie permet de gérer les comptes administrateurs. Ils doivent
être rattachés à un profil d’administration pour définir leurs droits.
o Forfaits : des forfaits peuvent être créés afin d’être utilisés par les systèmes de facturation
PayPal, Ingenico, PMS, mais aussi avec des vouchers.
o Vouchers : cette sous-catégorie permet de gérer les vouchers sous forme de codes de
rechargements qui peuvent être saisis par l’utilisateur directement sur le portail pour
recharger son compte.
• Politiques :
o Services : dans cette sous-catégorie sont définis globalement tous les services utilisables
avec le contrôleur UCOPIA. À chaque service peut être associée une Qualité de Service.
Les droits d’accès à ces services sont précisés lors de la définition du profil utilisateur. o
Zones : les zones sont définies dans cette dernière catégorie. Il existe des zones d’entrée et
des zones de sortie. Les zones représentent des lieux (accueil, bureaux, bibliothèque), et sont
associées aux profils utilisateurs ; en entrée, pour autoriser ou interdire la connexion sur la
zone, en sortie pour définir des politiques du réseau.
o Contraintes de champ : des contraintes de champ peuvent être créées puis utilisées dans
la page de gestion des profils afin de contrôler la génération et la modification des mots de
passe utilisateurs.
170
6.1. Utilisateurs
6.1.1. Profils utilisateurs
Les profils utilisateurs vont décrire les droits d’accès aux services, les zones d’entrée et de sortie,
ainsi que la durée de validité. Tous ces paramètres s’appliqueront aux utilisateurs du portail captif. Un
profil peut par ailleurs dépendre de conditions (lieu et temps), voir section « Ajout d’un profil conditionnel
».
Pour visualiser l’ensemble des profils disponibles, cliquez sur l’item « Profils » dans le sous-menu de
gauche.
Pour chaque profil, les icônes de la colonne Actions permettent d'agir sur ce profil :
Aperçu
171
Figure 205 Visualisation des détails d'un profil
Éditer
Supprimer
172
Figure 206 Création d’un profil utilisateur
1. Bloc « Paramètres du profil ». Renseignez le nom du profil dans le champ « Nom » (ce champ est
obligatoire).
2. Bloc « Droits d’accès ». Associez au profil des droits d’accès aux services. La liste des services
disponibles est affichée en partie droite. Pour autoriser un service au niveau du profil, sélectionnez le
service à ajouter, et cliquez sur le bouton « <<< Ajouter ».
173
3. Bloc « Validité ». Définissez la date de validité du profil. Plusieurs choix sont proposés, consultez
Section « Définition des dates de validité d’un profil » pour en avoir une liste exhaustive.
Figure 208 Création d’un profil utilisateur : validité sur un intervalle de dates
4. Bloc « Zones ». Choisissez les zones d’entrée et de sortie associées au profil. Si une zone d’entrée
est autorisée, cela signifie que l’utilisateur pourra se connecter sur cette zone (voir Administration des
zones pour une description du mécanisme de zones).
Exemple : autorisation dans la zone Accueil mais pas dans la zone Bureaux.
5. Bloc « Reconnaissance d'équipements utilisateur ». Ces options permettent d'activer, pour les
utilisateurs de ce profil, la reconnaissance automatique de l'équipement, sur la base de son adresse
MAC. Pour plus de détails sur le fonctionnement de cette fonctionnalité, consultez le chapitre
Configuration de l'authentification.
174
• Limiter le nombre d'équipements mémorisés par compte utilisateurs : cochez cette case
afin de définir le nombre maximum d'équipements mémorisés pour un utilisateur. L'utilisateur
pourra alors se connecter avec plusieurs équipements préalablement enregistrés.
• Permettre à l'utilisateur de gérer sa liste d'équipements : cochez cette case pour permettre
à l'utilisateur de modifier ou supprimer un équipement directement à partir du portail captif.
6. Bloc « Trafic Web ». Ces options permettent d'activer, pour les utilisateurs de ce profil, le proxy Web
et le filtrage d'URLs.
• Activer la redirection vers le proxy Web : cette option permet de rediriger les flux HTTP des
utilisateurs vers le proxy Web UCOPIA. Cette option est nécessaire si l’on souhaite utiliser le
système de filtrage des URLs.
• Appliquer Google SafeSearch : cette option permet de filtrer le contenu des pages Web en
bloquant les images inappropriées ou explicites des résultats de recherche Google.
Note
Cette option fonctionnera uniquement si le contrôleur est utilisé en tant que serveur DNS pour les équipements
utilisateurs.
• Activer le filtrage des URLs : cochez cette case pour activer le filtrage d'URLs.
175
Figure 212 Exemple de configuration de filtrage d'URLs
– Sélectionnez la catégorie qui va prendre part au filtrage en cliquant sur les boutons « Ajouter »
et « Supprimer ».
– Sélectionnez une catégorie puis utilisez les boutons « Monter » et « Descendre » pour changer
sa place dans l'ordre de filtrage.
– Pour chaque catégorie, précisez s’il faut interdire ou autoriser les URLs de cette catégorie en
sélectionnant « Autoriser » ou « Bloquer ».
– La règle par défaut s’applique si l’on doit filtrer une URL qui n’appartient à aucune des catégories
filtrées.
7. Bloc « Politiques de mot de passe ». Cette option permet de préciser une politique de champ à appliquer
dans la génération ou la modification de mots de passe des utilisateurs de ce profil.
176
• Génération automatique : sélectionner, dans la liste, la politique qui sera utilisée au moment d'une
génération automatique de mot de passe.
• Modification par l'utilisateur : sélectionner, dans la liste, la politique qui sera imposée à l'utilisateur
qui modifie son mot de passe.
• Les cases « Le mot de passe n'expire jamais » sont cochées par défaut. Si vous les décochez, il
convient de préciser le nombre de jours de validité de ce mot de passe à partir de sa modification.
Attention
Une valeur égale à 0 entraînera une expiration immédiate de ce mot de passe et permet, par exemple, de forcer
une modification du mot de passe à la première authentification.
• Autoriser l'utilisateur à modifier son mot de passe : cochez cette case pour activer l'autorisation
de modification.
• Autoriser l'utilisateur à réinitialiser son mot de passe depuis le portail captif : cochez cette case
pour permettre à l'utilisateur de réinitialiser son mot de passe en cas d'oubli.
8. Bloc « Limitation de bandes passantes et quotas » : il s'agit de contrôler la bande passante par
profil utilisateur et éventuellement de définir un quota de données transférées (descendant et
ascendant).
• « Contrôle du débit des utilisateurs » permet de préciser la limitation du débit ascendant et/ou
descendant.
Le débit descendant correspond au flux allant du réseau vers l’équipement utilisateur ; le débit ascendant
correspond à l’inverse.
Avertissement
Par exemple, si une limitation est définie à 100 Ko/s et que 50 utilisateurs sont susceptibles de se connecter
simultanément, le débit global est supposé être supérieur ou égal à 100x50 Ko/s.
• « Quota »
177
Cliquez sur Ajouter un quota pour insérer une nouvelle ligne dans le tableau.
– soit sur le débit ascendant (Envoyé) et/ou sur le débit descendant (Reçu), – soit sur la Somme
b. Dans les colonnes « Action », des règles peuvent être définies si les seuils ont été dépassés
:
Si plusieurs règles sont définies, c'est la dernière rencontrée qui sera appliquée.
c. « Remettre à zéro les compteurs de données consommées tous les... » : précisez la fréquence
de mise à zéro des quotas.
9. Bloc « Purge automatique des comptes » : permet de paramétrer la purge automatique des comptes
utilisateurs.
• Modifier les paramètres de purge automatique des comptes : cochez cette case pour surcharger
les paramètres de purge automatique des comptes utilisateurs définis dans Section « Configuration
de la purge automatique ». La priorité revient à la configuration par profil.
• Supprimer les comptes dont la date de validité a expiré depuis : Décochez cette case pour
désactiver la suppression automatique des comptes dont la validité a expiré. Par défaut, cette
suppression est activée.
• Supprimer les comptes dont la date de validité est Toujours valide ayant une date de création
antérieure à : Cochez cette case si vous souhaitez supprimer automatiquement les comptes
permanents dont la date de création est antérieure à un nombre de jours donné.
• Supprimer les comptes dont la date de validité est Valide à partir de la 1ère connexion mais
jamais utilisés et ayant une date de création antérieure à : Cochez cette case si vous souhaitez
supprimer automatiquement les comptes dont la date de validité démarre à la première connexion de
l’utilisateur, qui n’ont jamais été utilisés, et qui ont été créés depuis un nombre de jours donné.
• Supprimer les comptes qui n'ont pas été utilisés depuis : Cochez cette case si vous souhaitez
supprimer les comptes qui ne sont pas connectés depuis un nombre de jours donnés.
178
Figure 216 Configuration de la purge automatique des comptes utilisateur par profil
10.Bloc « Options avancées ». Certaines options concernant les utilisateurs ayant ce profil peuvent être
configurées.
Dans le cas où les utilisateurs s’authentifient en mode portail, l’utilisation de certains VPN
depuis le poste utilisateur peut être incompatible avec le mécanisme de réauthentification
automatique du portail. La première option consiste à débrayer ce mécanisme. Il faut, pour
cela, décocher la case correspondante.
179
Dans le cas où les utilisateurs s’authentifient depuis un annuaire d’entreprise externe, il est
possible d’utiliser dans le processus d’authentification la valeur de certains attributs de
l’annuaire. Pour cela, l’option doit être cochée et les attributs spécifiés lors de la configuration
de l’annuaire. Par exemple, il peut s’agir d’un attribut qui indique qu’un utilisateur a payé son
forfait.
• Nombre maximum de postes utilisateurs Par défaut, UCOPIA n’autorise pas les connexions
simultanées avec un même couple d’identifiants login/mot de passe. Il est possible d’autoriser cette
fonctionnalité. Il faut alors spécifier le nombre maximum de connexions simultanées souhaitées : soit
au nombre maximum de postes de la licence, soit une valeur fixe.
Cette option permet de déconnecter un utilisateur une fois que le temps spécifié dans l’option est
épuisé. Cochez la case « Activer la déconnexion forcée ».
• Déconnexion automatique de l’utilisateur Cette option permet de personnaliser la durée
d’inactivité réseau déclenchant la déconnexion automatique de la session d’un utilisateur. Si cette
option n’est pas configurée, la valeur par défaut de 5 minutes est appliquée.
Cette option permet de définir un temps d'attente entre deux sessions consécutives.
L'utilisateur n'aura pas la possibilité de se connecter pendant cette durée.
Cette option permet à l'utilisateur de modifier ses informations personnelles depuis le portail captif
(ex : nom, prénom, email, équipements).
En cochant cette option, la journalisation des paquets et des URLs concernant ce profil ne sera
pas effectuée.
L'assignement dynamique d'un utilisateur dans un VLAN spécifique permet de séparer les
utilisateurs dans des segments de réseau sur la base du VLAN ID qui est assigné pour chaque
utilisateur au niveau du serveur RADIUS lors d’une authentification 802.1x.
Une fois la création de profil validée, le profil apparaît dans la liste des profils.
180
Définition des dates de validité d’un profil
Il existe plusieurs façons d’exprimer la date de validité d’un profil.
• Toujours valide
La connexion est valide dans un intervalle de dates spécifiées à l’aide d’un calendrier.
181
6.1.1.2. Suppression d’un profil utilisateur
Pour supprimer un profil utilisateur, cliquez sur l’item « Profils » dans le sous-menu de gauche. Dans
le tableau des profils, cochez la case correspondant au profil à supprimer, et cliquez sur le bouton «
Supprimer ».
Avertissement
Note
Pour supprimer tous les profils en une seule opération, cochez la case sur la ligne de titres du tableau
des profils, et cliquez sur « Supprimer ».
Pour modifier un profil utilisateur existant, cliquez sur l’item « Profils » dans le sous-menu de gauche.
Dans le tableau des profils, cochez la case du profil à modifier, et cliquez sur le bouton « Modifier ». La
page suivante s’affiche :
Tous les champs peuvent être modifiés. Un profil conditionnel peut être ajouté à ce stade (voir Section
suivante).
Les profils peuvent se décliner en fonction de conditions telles que le lieu, l’heure ou encore l'appareil
de connexion de l’utilisateur. Un même profil pourra donc avoir plusieurs variantes.
Pour créer un profil conditionnel, cliquez sur l’onglet « Nouvelle condition » de la page de modification de
profil.
182
Figure 222 Ajout d’un profil conditionnel
Il faut tout d’abord nommer le profil conditionnel en renseignant le champ « Nom de la condition »,
puis définir les conditions qui rendront applicable le profil (conditions de lieu, de temps et de type
d'équipements).
183
Pour définir ces conditions, cliquez sur les liens « Modifier les valeurs » correspondant soit au lieu, soit
au temps, soit au type des équipements :
Par exemple, si nous souhaitons que les utilisateurs de profil « Visiteur » se connectant dans la zone
« Accueil » avec un équipement de type « Smartphone Apple » se voient attribuer un crédit temps
d’une heure, nous allons définir des conditions de la manière suivante :
1. Cliquez sur « Modifier les valeurs » de la condition de lieu puis sélectionnez la ou les conditions à partir
du navigateur et cliquez sur « Ajouter » puis sur « Valider ».
2. Cliquez sur « Modifier les valeurs » de la condition sur les types des équipements puis sélectionnez la ou
les conditions à partir du navigateur et cliquez sur « Ajouter » puis sur « Valider ».
184
Figure 225 Exemple de configuration des conditions sur le type d'équipement
3. Il convient ensuite de modifier les blocs suivants si vous le souhaitez (cf. Section « Ajout d’un profil
utilisateur ») puis de cliquer sur « Valider ».
Pour supprimer un profil conditionnel, sélectionnez le profil conditionnel à supprimer dans la barre de
menu associée au profil, et cliquez sur le bouton « Supprimer le profil conditionnel » situé en bas de
l'écran.
Une fois les profils utilisateurs spécifiés, l’administrateur d’UCOPIA va pouvoir définir des utilisateurs et
leur associer des profils.
Pour visualiser l’ensemble des comptes utilisateurs, cliquez sur l’élément « Utilisateurs > Comptes »
dans le menu de gauche. La page suivante s’affiche :
185
Figure 228 Gestion des comptes utilisateurs
Le tableau principal résume l’ensemble des comptes existants. Les colonnes du tableau permettent
de visualiser rapidement un certain nombre d’informations tels que l’identifiant du compte, son profil,
ses nom et prénom, … L’icône « Gérer les colonnes » dans la partie en bas à gauche permet de modifier
les colonnes affichées.
Pour chaque utilisateur, les icônes de la colonne Actions permettent d'agir sur cet utilisateur :
Aperçu
Pour visualiser la description complète d’un compte utilisateur. Par exemple, pour le compte « guest1 »,
l’affichage sera le suivant :
186
Éditer
Suspendre
Réactiver
Supprimer
Avertissement
Par défaut, les comptes utilisateurs, une fois que leur durée de validité expire, sont automatiquement
supprimés. Il est néanmoins possible de conserver les comptes après leur date d’expiration (voir «
Configuration de la purge automatique »).
Recherche : le filtre de recherche se trouvant au-dessus du tableau principal permet de n'afficher que les
utilisateurs correspondant à un critère, ou une combinaison de ceux-ci.
Actions
La liste d'icônes située en bas à gauche du tableau permet de lancer soit des actions générales, soit sur
les utilisateurs sélectionnés (en cochant la case située à gauche de chaque utilisateur).
Pour télécharger la liste des utilisateurs affichés (tous ou une partie si un filtre est actif) au format CSV
(séparateur : point-virgule).
Ajouter un utilisateur
187
Pour supprimer définitivement un (ou plusieurs) utilisateur.
Suspendre
Pour désactiver temporairement un (ou plusieurs) utilisateur afin qu'il ne puisse plus se connecter. Cette
action a aussi pour effet de déconnecter immédiatement l'utilisateur.
Réactiver
La purge automatique des comptes utilisateur peut être configurée comme suit :
188
Figure 232 Configuration de la purge automatique des comptes utilisateur
• Renseignez le champ « Exécuter la purge toutes les » pour programmer la purge automatique des
comptes utilisateurs. Il est possible de purger les comptes toutes les x minutes (de 10 à 45) où au-
delà d'une heure en définissant une heure de départ.
• Décochez la première case pour désactiver la suppression automatique des comptes dont la validité
a expiré. Par défaut, cette suppression est activée.
• Cochez la deuxième case si vous souhaitez supprimer automatiquement les comptes permanents dont
la date de création est antérieure à un nombre de jours donné.
• Cochez la troisième case si vous souhaitez supprimer automatiquement les comptes dont la date de
validité démarre à la première connexion de l’utilisateur, qui n’ont jamais été utilisés, et qui ont été
créés depuis un nombre de jours donné.
• Cochez la dernière case si vous souhaitez supprimer les comptes qui ne sont pas connectés depuis
un nombre de jours donnés.
Cette option permet d'activer l'export automatique des comptes utilisateurs au format CSV et peut être
configurée comme suit :
• Compte FTP : Vous devez définir au préalable le compte FTP à utiliser pour l’export.
• Heure d'envoi des sauvegardes : renseignez l'heure à laquelle les exports du compte doivent être
effectués.
6.1.2.3. Ajout d’un compte utilisateur
Pour ajouter un utilisateur, cliquez sur l'icône « Ajouter » du tableau des comptes utilisateurs.
189
Figure 234 Exemple de création d’un compte utilisateur
1. Bloc « Identité de l’utilisateur ». Renseignez le nom du login dans le champ « Identifiant » (ce
champ est obligatoire). Renseignez le mot de passe associé au compte, dans le champ « Mot de
passe » (ce champ est obligatoire). Renseignez les champs « Nom » et « Prénom » de l’utilisateur.
2. Bloc « Profil ». Sélectionnez un profil utilisateur depuis la liste « Profil disponibles ». À titre indicatif,
la sélection d’un profil affiche, dans la liste « Services associés », les services autorisés par le profil
ainsi que les paramètres de validité qui seront appliqués au compte.
Cette option permet de définir pour un utilisateur donné une authentification basée sur son adresse
MAC et/ou adresse IP. Dans ce cas, l’utilisateur ou l’équipement IP se connectant à UCOPIA sera
190
automatiquement authentifié si son adresse MAC et/ou IP correspond à celle configurée. Cochez la
case « Activer l’authentification automatique », et renseignez l’adresse MAC ou IP.
Dans le tableau des comptes utilisateurs, cochez la case correspondant au compte à supprimer, et cliquez
sur l'icône « Supprimer » .
Note
Pour supprimer tous les comptes en une seule opération, cochez la case sur la ligne de titres du
tableau, et cliquez sur « Supprimer » .
Pour modifier un compte utilisateur existant, cliquez sur l’item « Utilisateurs > Comptes » du menu de
gauche.
Dans le tableau des comptes, cliquez sur l'icône dans la colonne des actions pour le compte
à modifier. La page affichée est identique à la page de création du compte. Tous les champs peuvent
être modifiés, à l’exception du champ Identifiant.
Il est possible, à tout moment, de suspendre un compte utilisateur afin d’interdire à l’utilisateur de se
connecter. Pour cela, sélectionnez l’utilisateur à suspendre, et cliquez sur l'icône Suspendre. Pour
réactiver un compte utilisateur, cliquez sur l'icône Réactiver.
La suspension d’un compte utilisateur a également pour effet de déconnecter l’utilisateur en temps réel.
6.2. Administrateurs
6.2.1. Profils administrateurs
Dans la partie gauche, après avoir cliqué sur le menu « Administrateurs », cliquez sur le sous menu « Profils ».
La page suivante s’affiche :
191
Figure 238 Gestion des profils d'administration
Le tableau en haut à droite permet de filtrer les entrées affichées en fonction de différents critères et
conditions. Le tableau principal récapitule les différents profils déjà configurés. La colonne la plus à
droite permet diverses actions sur un profil donné, comme le supprimer ou le modifier. En bas à gauche
de ce tableau principal, d’autres actions sont possibles comme ajouter un nouveau profil, exporter ou
supprimer les profils sélectionnés, modifier les colonnes affichées ou restaurer les colonnes affichées
par défaut. Pour ajouter un nouveau profil, cliquez l’icône « + ».
Différents paramètres peuvent être renseignés dans la configuration d’un profil d’administration :
192
Figure 240 Paramétrage des droits d'administration
• Menus autorisés : ce bloc permet de définir pour un profil administrateur donné les opérations qu'il
pourra faire. Ainsi, si un menu est décoché, l'administrateur n'y aura pas accès. Dans le cas contraire,
le menu sera accessible. L’autorisation d’accès au menu des profils administrateurs ne peut être
accordée à un nouveau profil. Seul le compte d’administration principal « admin » est autorisé à gérer
les profils d’administration.
• Accès en visualisation uniquement : permet d’interdire les modifications dans les menus autorisés.
L’accès sera alors en lecture seule.
• Profils d’administration disponibles : on peut définir ici quels sont les profils d’administrations qui
seront disponibles sur ce profil possèdent le droit de gérer des comptes administrateurs.
L’activation de l’accès à l’outil d’administration déléguée ouvre un nouvel encart permettant de définir
les droits de ce profil sur cet outil. L’outil d’administration déléguée s’adaptera alors en fonction des
prérogatives de son utilisateur. Par exemple, pour un usage simplifié, l’outil pourra être réduit à sa plus
simple expression, en générant un ticket de connexion à partir des seules informations de nom et
prénom de l’utilisateur. Pour un usage plus avancé, l’administrateur délégué sera à même de créer un
compte en allouant un profil, une plage horaire. Il pourra éventuellement modifier le compte après sa
création.
193
Figure 241 Paramétrage des droits d'administration déléguée
194
Il s’agit enfin de sélectionner les profils que l’administrateur délégué pourra octroyer lors de la création
de compte. Par défaut, tous les profils sont visibles.
Exemple : Seuls les profils « Visiteur » et « VIP » apparaîtront dans la page de choix des profils
de l’administration déléguée.
195
• Autoriser l’administration des utilisateurs Cette option permet d’administrer les comptes
– soit uniquement aux comptes utilisateurs ayant été créés par l’administrateur délégué luimême,
– soit à tous les comptes utilisateurs et donc éventuellement à des comptes créés par d’autres
administrateurs délégués,
– soit à des comptes utilisateurs gérés par l'administrateur délégué de manière plus sélective, à
savoir ceux correspondant à un ou plusieurs profils utilisateur.
Cette option permettra à l’administration déléguée de créer des comptes en masse, soit de
façon aléatoire, soit depuis un fichier CSV. Par défaut, seule la création de compte individuel est
autorisée.
Par défaut, l’administrateur délégué doit choisir le login de l’utilisateur. Cette option permet de
générer le login automatiquement et aléatoirement.
Les paramètres de validité sont hérités du profil. Par défaut, l’outil d’administration déléguée
ne donne pas la possibilité de les changer. Cette option autorise la modification. Elle permet
également de définir une validité par défaut que l’administrateur déléguée pourra appliquer lors
de la création de comptes utilisateurs. Elle surchargera ainsi la validité du profil utilisateur choisi
lors de la création du compte.
196
Par défaut, les tickets de connexion sont générés en format A4. Cette option donne la possibilité de
les générer en format badge.
Cette option permet d’envoyer le ticket de connexion par SMS. Pour cela, il faudra préalablement
définir un compte SMS.
• Autoriser l’envoi du ticket de connexion par mail Cette option permet d’envoyer le ticket de
connexion par mail. Pour cela, il faudra préalablement définir un compte mail.
Figure 243 Choix des actions autorisées pour l'administration des vouchers
– création de vouchers ;
– exportation de vouchers ;
– impression de vouchers ;
– rechargement d’un compte utilisateur.
197
– appartenant aux forfaits qui doivent être choisies dans la liste. Cliquez sur les boutons « Ajouter
» et « Supprimer » pour sélectionner les forfaits.
Pour ajouter un nouvel administrateur, cliquez sur le l’icône « + » en bas à gauche du tableau principal.
Lors de la création d’un nouveau compte administrateur, un certain nombre de champs est à renseigner
:
• Identifiant : ce sera l’identifiant à saisir lors de l’authentification sur l’outil d’administration et/ou l’outil
d’administration déléguée.
• Mot de passe : saisir le mot de passe pour l’authentification de ce compte
• Confirmer le mot de passe : pour vérifier la valeur saisie dans le champ précédent
• Nom, Prénom, Email, Téléphone, Fonction : ces champs ne sont pas obligatoires, mais il est
recommandé de les renseigner, particulièrement pour des comptes qui seront rattachés à un profil
d’administration ayant accès aux données personnelles disponibles dans le contrôleur (comptes
utilisateurs, journaux utilisateurs, …)
• Profil : sélectionnez le profil d’administration auquel ce compte sera rattaché. Ce profil définira les
droits du compte en cours de création ou modification.
Une fois les champs remplis, cliquez sur « Valider » pour confirmer la création ou modification du compte.
198
6.3. Forfaits & Vouchers
6.3.1. Forfaits
Il est possible de définir des forfaits pour les utilisateurs afin de créer ou recharger leur compte. Les
forfaits peuvent s’utiliser conjointement aux modes d’enregistrements PayPal, Ingenico ou PMS. Ils
peuvent aussi être utilisé avec les vouchers pour recharger un compte utilisateur. Les utilisateurs
peuvent ainsi, par exemple, obtenir davantage de crédit temps ou de bande passante.
Pour définir un forfait, cliquez sur l’item « Forfaits » du menu « Forfaits & Vouchers ».
Pour ajouter un nouveau forfait, cliquez sur l’icône « + » du tableau des options.
199
Figure 247 Ajout d'un forfait
• Nom du forfait : un label pour nommer le forfait. Il sera affiché sur le portail.
• Description : une description plus détaillée du forfait. Elle sera affichée sur le portail.
• Langue par défaut : la langue par défaut à utiliser lorsque la description n’est pas donnée dans toutes
les langues supportées.
• Politique de création des vouchers : la politique ou contrainte de champ qui sera utilisé pour créer
les vouchers liés à ce forfait. Quel que soit le mode d’utilisation des forfaits (PayPal, Ingenico, PMS,
Vouchers), chaque transaction est enregistrée sous forme d’un voucher. Ceux-ci sont
automatiquement créés dès que nécessaire par le système. Cela étant, il faut que le pattern de la
politique permette d’en créer suffisamment. La politique par défaut permet d’en créer un très grand
nombre et devrait convenir dans la plupart des cas.
• Ajouter à la validité : permet d'ajouter un temps de validité qui s’appliquera au compte utilisateur.
• Ajouter au crédit temps : permet d'ajouter plus de crédit temps au compte utilisateur.
• Ajouter au quota : permet d’ajouter du quota de bande-passante supplémentaire au compte
utilisateur.
200
• Ajouter au nombre maximum d’équipements utilisateur : permet d’augmenter le nombre maximum
d’équipements qu’un compte utilisateur est autorisé à connecter simultanément.
6.3.2. Vouchers
Les forfaits définis précédemment peuvent s’utiliser avec des modes de paiement en ligne (PayPal,
Ingenico), un système tiers de facturation (PMS) mais également par le biais de vouchers pour créer ou
recharger un compte utilisateur directement sur le portail, mais aussi à travers l’outil d’administration
déléguée. Cette section couvre la création de ces vouchers qui représentent une transaction effectuée
en lien avec un forfait. Les transactions avec PayPal, Ingenico ou PMS créeront de façon automatique
les vouchers nécessaires pour journaliser les transactions effectuées sur le portail. Mais il est aussi
possible de créer des vouchers en vue d’une impression pour une vente non digitale, par impression de
tickets, ou par transaction auprès d’un administrateur déléguée. Cette création peut se faire comme
expliqué ci-dessous ou par un système externe (portail de vente en ligne dédié) en s’interfaçant avec
l’API d’administration déléguée (voir le manuel de l'API d'administration déléguée).
Pour créer des vouchers, cliquez sur l’item « Vouchers » du menu « Forfaits & Vouchers ».
Pour ajouter de nouveaux vouchers, cliquez sur le bouton « + » en bas du tableau principal.
201
• Nombre de codes de rechargement à générer : permet de spécifier si vous souhaitez générer
plusieurs vouchers et combien.
• Forfait : sélectionner le forfait à associer aux vouchers qui vont être créés.
Procédure 8.1. Utilisation
Pour autoriser un utilisateur à recharger son compte avec un voucher, vous devez :
Cette configuration permet de recharger le compte avant l'authentification en cliquant sur le lien
« Recharger votre compte ».
202
Figure 251 Option Recharger votre compte
203
Figure 252 Code de rechargement
Cette configuration permet de recharger le compte en cliquant sur le lien « Recharger votre compte
».
6.4. Politiques
6.4.1. Zones
Les zones peuvent décrire un lieu, par exemple dans une entreprise : une zone d’accueil ou de bureaux,
dans une université : la bibliothèque ou les amphithéâtres.
D’un point de vue réseau, les zones d’entrée correspondent à des sous-réseaux. Dans une
architecture réseau local (niveau 2) les zones correspondront à des VLANs, dans une architecture
204
réseau distant (niveau 3) les zones seront des sous-réseaux. Les zones en sortie correspondront dans
tous les cas à des VLANs. La correspondance zone d’entrée/sous-réseaux s’effectue lors de la
configuration des réseaux d’entrée au niveau du contrôleur UCOPIA. Une zone donnée est alors
associée à un équipement utilisateur en fonction de l’adresse IP de celui-ci. La zone de sortie est unique,
elle correspond d’une part à un VLAN et d’autre part à une politique d’adressage en sortie du contrôleur
UCOPIA (NAT ou routage). La politique d'adressage est associée à un profil utilisateur.
Pour administrer les zones, cliquez sur l’item « Zones » du menu « Politiques ». La fenêtre suivante
s’affiche :
et
Utilisez les boutons pour créer ou supprimer une zone.
205
Figure 255 Ajout d'une zone d'entrée
La licence UCOPIA peut être répartie sur plusieurs zones d'entrée. Pour cela, cocher la case « Activer la
limitation de licence ». Vous pouvez alors choisir de limiter l'utilisation de la licence :
Cocher la case « Définir un fuseau horaire » pour définir un fuseau horaire spécifique associé à
une zone. Cela peut être utile lorsqu’un contrôleur est utilisé dans une architecture Out-of-Band ou avec
un contrôleur hébergé en Datacenter et dans les différentes zones desservent des sites distants situés
dans des fuseaux horaires différents.
Pour chaque zone, un logo spécifique peut être configuré. Ce logo sera utilisé alors à la place du logo
par défaut lorsque la notion de zone peut être appliquée, par exemple, lors de la création d’un rapport
PDF de statistiques par zone.
Les options de configuration « Attribut RADIUS » et « Option DHCP 82 » permettent d’affecter une
zone d’entrée à un équipement utilisateur donné grâce des informations ajoutées et transmises par des
éléments intermédiaires dans le réseau. Ces mécanismes surchargent le mode d’association de
l’équipement utilisateur à une zone en fonction de son adresse IP. La configuration s’effectue comme
suit :
• Attribut RADIUS : les attributs RADIUS pouvant être utilisés pour affecter une zone sont : « Called-
Station-Id » et « NAS-Identifier ». Ils peuvent être utilisés de façon séparée ou conjointe.
206
La valeur attendue pour ces attributs peut être fixe, ou une expression régulière en cochant la case
prévue à cet effet.
Note
Lors d’authentification 802.1x, cette information de zone par attribut RADIUS permet les vérifications basées
sur la zone dès le traitement de la requête Access-Request (par exemple, les zones autorisées pour le
profil). Dans le cas contraire, ces vérifications sont faites après la réponse AccessAccept et la délivrance
d’une adresse IP par DHCP, en raison de la nécessité de connaître l’adresse IP de l’équipement utilisateur
pour déterminer sa zone.
• Option DHCP 82 : cette option est ajoutée par un relai DHCP entre les équipements utilisateurs
et le contrôleur UCOPIA. Cela peut être un contrôleur de points d’accès par exemple. Deux
sous-options peuvent être configurées de façon séparée ou conjointe :
« Circuit-Id » et « Remote-Id ». L’utilisation d’une expression régulière est possible en cochant la
case prévue à cet effet.
6.4.2. Tenants
La notion de multi-tenancy permet de modéliser des clients utilisant la solution UCOPIA. Celle-ci se base
sur la notion de zone. Un tenant est défini par un label, une description et une ou plusieurs zones.
207
Ces tenants peuvent alors être utilisés pour représenter un client et lui associer différents éléments
qu'il pourra consulter et/ou administrer lui-même comme : les visuels et configurations portails avec
leurs chartes et champs additionnels associés, les comptes utilisateurs, les sessions utilisateurs
courantes et passées, ... Ces tenants sont également synchronisés et visibles sur la plateforme UWS.
Ils peuvent y être utilisés pour les associer à des comptes d’accès aux outils Smart Insight et Smart
Connect.
Il est ensuite possible de créer des profils administrateurs liés à des tenants :
208
Figure 260 Ajout d'un profil administrateur pour tenant
Ces profils administrateurs peuvent avoir des droits d’accès à l’outil d’administration où seules
certaines actions seront possibles (voir l’arbre des droits d’un profil administrateur). Ces actions seront
limitées à des objets liés à ce tenant. Ces profils peuvent aussi avoir des droits d’accès à l’outil
d’administration délégué, où seuls certains profils liés au tenant seront utilisables.
6.4.3. Services
Un ensemble de services est déjà préconfiguré. Il est néanmoins possible d’ajouter un nouveau service
ou de supprimer/modifier des services existants.
Pour visualiser l’ensemble des services disponibles, cliquez sur l’item « Services » dans le menu «
Politiques ». La page suivante s’affiche :
209
Figure 262 Visualisation des services
La colonne « État » indique si le service est activé (vert) ou désactivé (rouge). Voir Section «
Activation/désactivation d’un service ».
Pour créer un service, cliquez sur le bouton « Ajouter » au-dessus du tableau des services. La page
suivante s’affiche :
210
Figure 263 Création d’un service
1. Bloc « Service ». Il s’agit tout d’abord de nommer le service (« Nom du service »).
2. Bloc « Paramètres ». À chaque service est associé un nombre quelconque de paramètres. Un
paramètre va décrire le type de protocole utilisé, l’adresse IP des serveurs impliqués, les ports
ouverts, etc. Le premier paramètre se définit dans cette page. Il s’agit, dans ce bloc, de le nommer
(« Nom du paramètre ») et de préciser le protocole utilisé (« Type de protocole »). Le type de
protocole peut être TCP/UDP, TCP, UDP, AH, ESP, L2TP, GRE, ICMP, IGMP.
3. Bloc « Ports ». Il permet de spécifier les numéros de ports qui seront ouverts pour le paramètre. Il
peut être spécifié de plusieurs façons : tous les numéros de ports sont ouverts « Tous », un numéro
de port explicite « Numéro de port », un intervalle de numéros de ports « Intervalle de ports ».
4. Bloc « Qualité de Service ». Il permet d’associer au service une Qualité de Service appropriée. Trois
paramètres de QoS peuvent être définis : la réservation de bande passante (« Bande passante
réservée »), la limitation de bande passante (« Bande passante maximum ») et le type de service,
prioritaire ou normal (« Trafic prioritaire »). Les deux premiers paramètres s’expriment en kilooctets
par seconde.
5. Bloc « Adressage ». Il permet de spécifier l’adresse IP du serveur utilisé pour le paramètre. Il est
possible de ne préciser aucune adresse (« Tout »), ou d’entrer explicitement l’adresse (« Adresse
IP du serveur ») ou l’adresse d’un sous-réseau (« Adresse de réseau »). Si vous précisez l’adresse
du sous-réseau (« Adresse IP de réseau »), l’adresse du masque doit également être précisée («
Masque du réseau »). Pour configurer un service local au contrôleur, il suffit de cocher « Local ».
6. Cliquez sur « Valider ».
Exemple pour un Service « Web » ayant deux paramètres « HTTP » et « HTTPS ». Ce service n’est pas
prioritaire, et une bande passante de 1000 Ko/s a été réservée pour chacun des paramètres.
211
Figure 264 Affichage des paramètres d’un service
Si vous souhaitez ajouter un autre paramètre au service, cliquez sur le bouton « Ajouter » du tableau des
paramètres.
Pour supprimer un service, cochez dans le tableau des services la case correspondant au service à
supprimer, et cliquez sur le bouton « Supprimer ».
Pour modifier un service, cochez la case correspondant au service à modifier dans le tableau des
services, et cliquez sur le bouton « Modifier ». La page présentant la liste des paramètres du service
s’affiche.
Sélectionnez le paramètre à modifier, et cliquez sur « Modifier ». La modification d’un paramètre est
identique à sa création.
Un service peut être globalement désactivé. Il ne sera alors plus accessible par aucun utilisateur. La
colonne « État » du tableau des services indique si le service est actif (vert) ou inactif (rouge). Par
défaut, tous les services sont actifs.
Pour désactiver un service, cochez la case du service à désactiver, et cliquez sur le bouton « Désactiver
». Pour réactiver le service, sélectionnez le service, et cliquez sur le bouton « Activer ».
6.4.4. Contraintes de champ
Il est possible de définir des contraintes sur les champs qui seront utilisés dans les formulaires.
Pour définir une contrainte, cliquez sur l’item « Contraintes de champ » du menu « Politiques ».
212
Figure 266 Configuration des contraintes de champ
Pour ajouter une contrainte, cliquez sur le bouton « Ajouter » du tableau des contraintes.
• Lettres majuscules : lettres majuscules acceptées dans le champ. Certaines lettres peuvent être
retirées (ex : le I pour éviter toute confusion avec le 1)
• Nombres : nombres acceptés dans le champ. Certains nombres peuvent être retirés (ex : le 0 pour
éviter toute confusion avec le O)
Les cases « Quota » permettent de spécifier le nombre de caractères requis pour chacun des champs.
Les contraintes de champs ainsi définies peuvent être utilisées dans la page de gestion des profils afin
notamment de contrôler la génération et la modification des mots de passe utilisateurs.
213
Figure 268 Configuration des politiques de récupération de mot de passe
• Commentaire : facultatif.
• Questions secrètes : à l'aide du curseur, précisez le nombre de questions qui seront proposées à
l'utilisateur pour récupérer son mot de passe ainsi que le nombre minimal de bonnes réponses
requises.
• Envoi du mot de passe : précisez si le nouveau mot de passe sera envoyé par mail et/ou sms en
sélectionnant les comptes préalablement créés.
Pour définir une nouvelle catégorie d'URL, cliquez sur l’item « Catégories d'URL » du menu « Politiques
».
214
Figure 270 Configuration des catégories d'URL
215
Les URLs et noms de domaine peuvent être importés à partir d’un fichier dans lequel chaque ligne
représentera une URL ou un domaine.
7. Supervision
• Surveillance en temps réel : ces sections permettent de visualiser en temps réel les informations
relatives aux utilisateurs connectés, les baux DHCP délivrés aux équipements utilisateurs
présents sur le réseau, et de surveiller l'état du système (CPU, mémoire, disque, bande-
passante).
• Consultation des journaux utilisateurs : ces sections permettent de consulter et faire des
recherches dans les différents journaux utilisateurs (sessions, trafic et URLs). Les résultats sont
affichés sous forme de tableaux et de graphes. Des extractions au format CSV peuvent être
réalisées.
• Consultation des journaux systèmes : ces sections permettent de consulter le journal d’audit
(actions d’administrations effectuées sur le contrôleur, traitements relatifs aux données
personnelles) et l’historique de l’utilisation des ressources du système.
Cliquez sur l’item « Supervision » de la barre de menu pour afficher la page de supervision cidessous
:
216
Figure 273 Exemple de recherche
Il permet de filtrer les évènements sur une période de temps données, et répondant à un ou plusieurs
critères.
Cliquez sur le bouton affichant la période de dates pour afficher le menu de choix.
Outre les périodes disponibles par défaut, les résultats peuvent également être affichées en fonction d’une
date ou d'un intervalle spécifique.
• Un intervalle de dates
217
Figure 276 Choix d’un intervalle de dates
Pour filtrer les évènements suivant un ou plusieurs critères dans la période de temps donnée, procédez
comme suit :
1. Cliquez sur le bouton « Sélectionnez un champ » pour choisir le premier critère. Il s'agit de l'ensemble
des champs disponibles pour le journal donné.
2. Cliquez sur le bouton « Est égal à » pour choisir le critère de comparaison
3. Rentrez la valeur souhaitée, ou choisissez-la dans la liste déroulante, suivant le cas.
4. Si vous souhaitez croiser plusieurs critères :
a. Cliquez sur le bouton « + », puis remplissez les caractéristiques pour ce nouveau critère, autant
de fois que nécessaire.
b. Choisissez le type de combinaison : « vérifier toutes les conditions (ET) » ou « vérifier au
moins une condition (OU) »
5. Utilisez le bouton « Rechercher » pour lancer la recherche et remplir les tableaux et graphes de la page.
Astuce
Le bouton « Réinitialiser » permet de supprimer les critères de recherche. Une nouvelle recherche affichera
l'ensemble des entrées du journal.
218
Figure 277 Exemple de tableau de résultats
Astuce
Cliquez sur l'icône en haut à droite pour agrandir le tableau en plein écran.
Rechargement du tableau
Cliquez sur l’icône pour recharger le tableau, et prendre en compte les nouveaux enregistrements.
Les résultats peuvent être exportées en format CSV pour générer des rapports Excel. Cliquez sur
cette icône pour générer le fichier CSV. Il est ensuite proposé au téléchargement.
219
Cette option permet de choisir les colonnes à afficher ou cacher dans le tableau.
•
: permet de rajouter une colonne disponible dans la partie de droite, vers la partie gauche
(colonnes affichées)
•
: permet de cacher cette colonne (son nom bascule à droite).
•
: utiliser la fonction de glisser-déposer avec cette icône pour déplacer l'ordre des
colonnes dans la partie gauche.
7.2. Supervision temps réel
7.2.1. Sessions
Pour visualiser en temps réel la liste des utilisateurs connectés, cliquez sur l’item « Sessions » du
menu « Temps-réel ». Les informations pour chaque utilisateur connecté sont présentées dans un
tableau, comme le montre l’exemple suivant :
220
Figure 280 Supervision des utilisateurs connectés
D’autres champs peuvent être visualisés, par exemple l’adresse IP de l’utilisateur ou l’adresse MAC
de sa machine. Par ailleurs, si des champs additionnels ont été ajoutés lors de la création d’un compte
utilisateur, tels que le numéro de carte d’identité, l’adresse de société, etc., ils pourront également être
visualisés. Pour visualiser l’ensemble des champs disponibles, il faut afficher le tableau complet, en
cliquant sur l'icône en haut à droite du tableau.
Comme précisé dans le cadre du filtre de recherche, un rafraîchissement des informations est réalisé
automatiquement toutes les 60 secondes. Ce temps peut être modifié en spécifiant le nombre de
secondes souhaité dans le champ correspondant.
Pour visualiser les baux DHCP distribués par le contrôleur, cliquez sur l’item « Baux DHCP » du menu «
Temps-réel ».
221
Figure 281 Supervision des baux DHCP
7.2.3. Contrôleur
Pour visualiser l’état système du contrôleur, cliquez sur l’item « Contrôleur » du menu « Tempsréel
».
222
Figure 282 Supervision de l’état du contrôleur
• Le bloc « Informations globales » donne des informations en temps réel sur l’état du contrôleur.
• Le tableau « Bande passante » donne le débit ascendant cumulé et le débit descendant cumulé
(en Ko/s) pour les interfaces d’entrée et les interfaces de sortie. Pour visualiser le débit détaillé par
interface de sortie ou d’entrée, cliquez sur « Cumulée côté sortie » ou « Cumulée côté entrée ».
Exemple :
Comme précisé en tête de page, un rafraîchissement des informations est réalisé automatiquement toutes
les 5 secondes.
223
Figure 284 Supervision des sessions utilisateur
Graphiques : ce tableau est suivi d'une série de graphiques qui permettent de visualiser les
statistiques les plus pertinentes comme le nombre de sessions simultanées ou la durée moyenne d'une
session suivant l'heure de la journée.
7.3.2. Trafic
Il est possible de visualiser les types de services qui sont utilisés et ceux qui sont le plus fréquemment
sollicités. Pour visualiser les services utilisés, cliquez sur l’item « Trafic » du menu « Journaux
utilisateurs ».
224
225
Figure 286 Supervision du trafic utilisateur
7.3.3. URLs
Il est possible de visualiser l'ensemble des URLs consultées sur une période de temps donnée. Pour
visualiser les URLs consultées, cliquez sur l’item « URLs » du menu « Journaux utilisateurs ».
226
Figure 287 Statistiques URLs
227
7.4. Journaux systèmes
7.4.1. Audit
Il est possible de visualiser l'ensemble des actions effectuées par les différents administrateurs du
système, les actions planifiées et effectuées par le système lui-même, les traitements réalisés sur les
données personnelles récoltées et stockées dans le contrôleur.
Pour visualiser ces journaux, cliquez sur l’item « Audit » du menu « Journaux systèmes ».
Pour visualiser l’historique d’utilisation des ressources du système, cliquez sur l’item « Utilisation des
ressources » du menu « Journaux systèmes ».
228
Figure 289 Utilisation des ressources du système
Différents graphiques sont proposés pour la journée en cours (vous pouvez changer la période grâce au
bouton « Date ») :
• Charge du système
• Utilisation du CPU
• Mémoire système
• Utilisation de la partition d’échange (SWAP)
• Espace disque sur la partition système
• Espace disque sur la partition des journaux utilisateur
• Température du disque et du CPU (sauf pour les machines virtuelles).
8. Exploitation
229
Pour effectuer l’ensemble des opérations d’exploitation du contrôleur UCOPIA, cliquez sur l’item «
Exploitation » de la barre de menu. La page suivante s’affiche :
• Sauvegardes
• Rapports
Vous pouvez configurer l'envoi périodique de rapports de statistiques. Ils seront envoyés au
format PDF par email aux destinataires de votre choix ou exporter sur un serveur FTP, sur une
base quotidienne, hebdomadaire, ou mensuelle.
• Maintenance
Il s’agit, dans cette section, de gérer la licence, les mises à jour, les accès à partir des serveurs
de maintenance UCOPIA, les envois de statistiques vers les serveurs UCOPIA pour le service
Wi-Fi Analytics.
8.1. Sauvegardes
8.1.1. Sauvegardes de configuration
La sauvegarde inclut toutes les configurations réalisées depuis l’outil d’administration. La base de données
interne des comptes (utilisateurs, profils, etc.) est également sauvegardée par ce mécanisme.
230
Figure 291 Sauvegarde/Restauration de la configuration
Pour sauvegarder la configuration, cliquez sur le bouton « Sauvegarder ». Une fenêtre vous invite à
enregistrer le fichier de sauvegarde dans votre système de fichiers :
231
Figure 292 Enregistrement du fichier de sauvegarde
Avertissement
Ne pas ouvrir le fichier. Ne pas modifier l’extension du nom du fichier (.bz2) lors de l’enregistrement du
fichier.
Le bloc suivant permet de configurer une sauvegarde quotidienne automatique de la configuration sur un
serveur FTP.
232
Figure 293 Exemple de configuration FTP pour l'export de la configuration
Smart configuration : un assistant de configuration est disponible sur la plate-forme UWS (UCOPIA
Web Services). Il permet de générer très facilement des configurations simples et génériques (c'est-dire
sans spécificité réseau). À l'instar des configurations standards, ces configurations issues de l'assistant
peuvent être installées sur le contrôleur.
L'assistant de configuration génère des configurations qui concernent uniquement les profils
utilisateurs et les portails captifs. Seuls ces éléments peuvent être configurés depuis l'assistant. De ce
fait les configurations générées ne sont pas complètes, c'est une différence importante par rapport aux
sauvegardes de configurations générées depuis le contrôleur. Ces nouvelles configurations sont
appelées « Smart configurations ».
• Fichier contenant une Smart configuration : permet d'importer directement un fichier contenant une
Smart configuration.
233
• Recherche d'une Smart configuration disponible : permet de vérifier si une Smart configuration est
disponible. Si oui, elle sera appliquée.
Les journaux sont partitionnés en unité de sauvegarde. Chaque unité de sauvegarde correspond à
une journée de journalisation. Les journaux sont automatiquement compressés lors de leur écriture
sur disque ; ils sont décompressés dès lors que l’on souhaite les exploiter.
Pour visualiser et gérer les sauvegardes de journaux, cliquez sur l’item « Journaux » du menu
« Sauvegardes » proposé en partie gauche de la fenêtre. L’exemple ci-dessous montre une page de gestion
des journaux avec plusieurs bases de données des journaux.
234
235
Figure 295 Exploitation de sauvegardes des journaux
Le premier tableau présente les différentes bases de données des journaux disponibles sur le
contrôleur. Par défaut, seule la base courante est disponible.
Pour importer une sauvegarde de journaux sur le contrôleur, cliquez sur l’icône du
tableau des bases de données. Une boîte de dialogue apparaît permettant de choisir la
sauvegarde à importer.
Deux graphes présentent respectivement la répartition de l'espace disque entre les différentes
bases de données et l’évolution de la taille des journaux en fonction de la date.
Le dernier tableau présente l’ensemble des unités de sauvegardes pour toutes les bases de
données des journaux disponibles sur le contrôleur. Pour chaque unité de sauvegarde, il est
précisé si l’unité est présente sur le contrôleur (case « Copie Locale » cochée) ou stockée sur
un serveur FTP externe (case « Copie distante » cochée).
Note
Le serveur FTP correspond à celui qui est configuré par le mécanisme d’exportation des journaux.
236
Télécharger une copie de l’unité de sauvegarde sur une machine tierce.
Un fichier « tar.bz2 » est alors exporté, le nom du fichier est préfixé par la date de la journée de l’unité.
Exemple : 2014-03-04_212D2BC097DA.tar.bz2
Un filtre facilite les recherches dans la liste des unités de sauvegarde en fonction de différents critères.
Pour synchroniser l’ensemble des unités de sauvegarde avec le serveur FTP, cliquez sur le lien «
Synchroniser maintenant » en haut de page.
8.2. Rapports
Les rapports sont des fichiers au format PDF qui contiennent des statistiques sur les sessions
utilisateurs passées. Vous pouvez programmer autant de rapports que souhaité, contenant des
contenus différents pour des destinataires différents.
Cliquez sur l’item « Rapports » dans le menu de gauche.
237
Figure 300 Configuration des rapports
238
Figure 301 Création d'un nouveau rapport
• quotidienne
• hebdomadaire
Pour cette périodicité, vous avez la possibilité de personnaliser vos rapports en choisissant un
paramétrage spécifique dans la liste (voir « Personnalisation d'un rapport »).
• mensuelle
Cochez la case « Ne pas générer les statistiques des périodes antérieures » pour ne pas
générer d'historique. L'historique concerne les 30 derniers jours et les 12 derniers mois pour la
demande de rapport journalier et hebdomadaire, et les 12 derniers mois pour le rapport mensuel.
• Global : les sessions sur l’ensemble des zones et sous-réseaux sont concernées.
239
• Par zone : seules les sessions des zones sélectionnées sont concernées. Il est possible de créer
un rapport pour chacune des zones sélectionnées ou un rapport unique, agrégeant les données
sur les zones sélectionnées.
• Par sous-réseau : seules les sessions des sous-réseaux sélectionnés sont concernées et un
rapport par sous-réseau est généré.
4. Choisissez le type d'envoi du rapport :
• Par FTP : sélectionnez un compte FTP qui aura été préalablement paramétré.
• Par email : sélectionnez un compte email qui aura été préalablement paramétré puis entrez
l'adresse email du destinataire, ainsi que l'intitulé qui apparaîtra lié à ce destinataire. Il est
possible d’ajouter plusieurs destinataires.
Si le rapport est composé d'un seul fichier, il est possible de l'envoyer directement en PDF
(c'està-dire non zippé) en cochant la case « Envoyer un fichier PDF en cas de rapport composé
d'un seul fichier ». Il faut cependant que la taille du fichier n’excède pas la valeur spécifiée dans
le champ « Taille maximale ».
5. Cliquez sur « Valider » pour créer le nouveau rapport. Il sera reçu par les destinataires dès la première
occurrence, le matin à 3H30 pour les évènements de la veille.
240
Figure 302 Exemple de création de personnalisation des rapports
241
Procédure 15.3. Pour créer une personnalisation de rapports :
242
8.3. Maintenance
8.3.1. Licence
La mise à jour de la licence UCOPIA peut être nécessaire pour, par exemple, passer d’une configuration
Advance 150 à Advance 250.
Les opérations à réaliser sont similaires à celles nécessaires à la première installation de la licence.
Consultez la section « Installation de la licence » en début de ce document.
Avertissement
Avertissement
Vous devez avoir un contrat de maintenance valide pour avoir accès aux mises à jour majeures.
Cliquez sur l’item « Mise à jour » du menu « Maintenance » en partie gauche de la fenêtre. La page
suivante s’affiche :
243
Figure 304 Mise à jour
La première étape consiste à télécharger, depuis les serveurs UCOPIA, le fichier de mise à jour. Contactez
UCOPIA qui vous indiquera comment vous procurer ce fichier.
La mise à jour se présente sous la forme d’un fichier archive (*.tar) que vous devrez enregistrer sur votre
ordinateur.
Le bouton « Parcourir... » vous permet de retrouver le fichier correspondant à la mise à jour à installer.
Cliquez sur « Valider » pour démarrer l’installation.
Vous pouvez configurer le contrôleur UCOPIA pour qu’il télécharge automatiquement les mises à jour
depuis les serveurs de maintenance UCOPIA.
• Les mises à jour « correctives » qui correspondent à des correctifs ou mise à jour de certificat, etc.
• Les mises à jour « évolutives » correspondant à de nouvelles versions majeures (versions 5.1,
6.0, …).
244
Pour chacun des types de mises à jour, vous pouvez activer le téléchargement automatique. Pour cela,
cliquez sur le lien « Activer » correspondant au type de mises à jour souhaité.
Avertissement
Les mises à jour « évolutives » sont téléchargées automatiquement mais ne sont pas installées.
L’installation est de la responsabilité de l’administrateur.
Les mises à jour « évolutives » qui ont été automatiquement téléchargées sont proposées à
l’installation. Pour installer une mise à jour, cliquez sur le bouton « Appliquer cette mise à jour »
correspondant. Pour visualiser son contenu, cliquez sur l’icône « » de la mise à jour.
Si la mise à jour s’est correctement effectuée, elle apparaîtra dans le cadre « Descriptif des mises à
jour ».
Note
8.3.3. UWS
UCOPIA donne, en cas de problèmes, la possibilité d’ouvrir un tunnel de maintenance de votre contrôleur
UCOPIA vers les serveurs de maintenance UCOPIA (UWS, UCOPIA Web Services).
Cliquez sur l’item « UWS » du menu « Maintenance » proposé en partie gauche de la fenêtre. La page
suivante s’affiche :
245
Figure 306 Configuration UWS
Avertissement
Vous devez avoir un contrat de maintenance valide pour bénéficier de ce service, et contacter le support
technique UCOPIA avant toute opération.
Tunnel de maintenance
Par défaut le tunnel sera automatiquement activé en cas de besoin. Pour tester la communication,
utilisez le bouton « Tester ». Si vous souhaitez que l’ouverture du tunnel de maintenance reste
manuelle, cliquez sur le lien « Désactiver ».
En cas d’ouverture manuelle du tunnel de maintenance UCOPIA, il faudra activer le tunnel en cliquant
sur le bouton « Activer ».
246
Pour désactiver le tunnel, cliquez sur le lien « Désactiver ».
Avertissement
Si le trafic du contrôleur UCOPIA est filtré par un pare-feu (firewall), il est nécessaire d’autoriser le flux
provenant de son adresse IP sur le port 22 (SSH) vers l’extérieur.
Envoi de statistiques
Le contrôleur peut envoyer certaines informations sur le système (charge système, espace disque
disponible, …). Ces informations permettent de bénéficier du système d’alertes configurables sur la
plateforme UWS.
Dans le cas d'un contrôleur multi-tenant, le contrôleur doit envoyer des informations à la plate-forme
UWS (zones, profils, ...) si l'on souhaite utiliser les services UCOPIA Web Services en mode multitenant
(Wi-Fi Marketing, Wi-Fi Analytics, ...). Cliquez sur « Envoyer » pour transmettre des données telles que
les profils, les zones, etc. à la plate-forme UCOPIA Web Services.
Pour l’utilisation du service Wi-Fi Analytics, le contrôleur doit envoyer certaines informations des
sessions utilisateurs à la plate-forme UWS. Il alors nécessaire de définir l’adresse de collecte pour
l’envoi de ces informations. Lors de l’utilisation d’une plate-forme UWS On Premise, cette adresse doit
être adaptée à votre installation. Dans le cas de l’utilisation de la plate-forme UWS Cloud, l’adresse par
défaut ne doit pas être modifiée.
Lors de la collecte, les données personnelles des utilisateurs ne peuvent être transmises que si une
charte d’utilisation des données personnelles a été configurée sur le portail, et si celle-ci a été accepté
par l’utilisateur. Si elle n’est pas définie ou non acceptée par l’utilisateur, seules des données techniques
telles que la durée de session, la bande passante consommée, le profil UCOPIA, … sont transmises. Il
est possible de définir une durée de rétention des données personnelles dans le service Wi-Fi Analytics.
Pour cela, il faut activer l’option de purge dans les configurations portails concernées (voir section « Options
globales » de la partie traitant de la configuration des portails).
Entrez votre ancien mot de passe, puis deux fois votre nouveau mot de passe. Cochez la case «
Mettre à jour le mot de passe CLI » si vous souhaitez également modifier le mot de passe du compte
CLI. Cliquez sur « Valider » pour effectuer le changement.
247
Note
Le mot de passe par défaut du compte admin est ucopia. Il est obligatoire de le changer lors de la première
authentification avec ce compte. Le mot de passe de la CLI est également modifié lors de cette
modification de mot de passe initiale.
248